Amazon Web Services iletişim kuralı yapılandırma seçenekleri

Amazon Web Services (AWS) iletişim kuralı, IBM® QRadar® için AWS CloudWatch günlüklerini, Amazon Kinesis Data Streams ve Amazon Simple Queue Service (SQS) iletilerini toplayan bir giden/etkin protokoldür.

Önemli: Amazon Web Services iletişim kuralı için QRadar 7.3.1 ya da sonraki bir sürümü ve IBM QRadar Log Source Management uygulaması gerekir.

Amazon Web Services iletişim kuralını, Amazon Kinesis Data Streams, AWS CloudWatch Logsya da Amazon Simple Queue Service (SQS)' ı kullanarak kullanabilirsiniz.

Amazon Kinesis Veri Akışları

Aşağıdaki tabloda, Amazon Web Services iletişim kuralıyla Amazon Kinesis Data Streams toplanmasını içeren iletişim kuralına özgü parametreler açıklanmaktadır:

Tablo 1. Amazon Kinesis Data Streams içinAmazon Web Services günlük kaynağı parametreleri
Parametre	Açıklama
İletişim Kuralı Yapılandırması	Protocol Configuration (İletişim Kuralı Yapılandırması) listesinden Amazon Web Services seçeneğini belirleyin.
Kimlik doğrulama yöntemi	Erişim Anahtarı Tanıtıcısı/Güvenlik Anahtarı Anahtarı Herhangi bir yerden kullanılabilecek standart kimlik doğrulaması. EC2 Yönetim Ortamı IAM Rolü QRadar yönetilen anasisteminiz bir AWS EC2 örneğinde çalıştırılıyorsa, bu seçeneği belirlediğinizde kimlik doğrulama için eşgörünüme atanmış meta verilerden IAM rolü kullanılır. Anahtar gerekmez. Bu yöntem, yalnızca bir AWS EC2 kapsayıcısı içinde çalışan yönetilen anasistemler için çalışır.
Erişim Anahtarı	The Access Key ID that was generated when you configured the security credentials for your AWS user account. Access Key ID/Secret Key (Anahtar Tanıtıcısı/Güvenlik Anahtarı Anahtarı) ya da Insay IAM Role(IAM Rolü Varsay) seçeneğini belirlediyseniz, Access Key parametresi
Gizli Anahtar	AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırdığınızda oluşturulan Gizli Anahtar. Erişim Anahtarı Tanıtıcısı/Gizli Anahtarı ya da İAM Rolünün üstlenilmesiseçeneğini belirlediyseniz, Gizli Anahtar parametresi görüntülenir.
IAM Rolünün Varsay	Bir Erişim Anahtarı ya da EC2 eşgörünüm IAM Rolü ile kimlik doğrulaması yapmak için bu seçeneği etkinleştirin. Daha sonra, erişim için bir IAM Rolünün geçici olarak varolduğunu tahmin edebilirsiniz.
Rol ARN ' i varsay	Varsayma rolünün tam ARN ' i. `arn:` ile başlamalı ve başında ya da sonunda boşluk ya da ARN içinde boşluk bulunamaz. IAM Role varsayseçeneğini etkinleştirdiyseniz, Rin Role ARN (Rol ARN) parametresinin görüntülendiğini varsayalım.
Rol Oturumu Adını Varsay	Varsayma rolünün oturum adı. Varsayılan değer `QRadarAWSSession`' dir. Değiştirmeniz gerekmiyorsa, varsayılan değeri olarak bırakın. Bu parametre yalnızca üst ve küçük harfli alfasayısal karakterleri, alt çizgileri ya da şu karakterlerden herhangi birini içerebilir: `=,.@-` IAM Rolünün üstlenilsinözelliğini etkinleştirdiyseniz, Rol Oturumu Adının Varsay parametresi görüntülenir.
Bölgeler	Günlükleri toplamak istediğiniz Amazon Web Hizmeti ile ilişkili her bölgeyi açın.
AWS Hizmeti	AWS Service listesinden Kinesis Data Streams(Kinesis Veri Akımları) seçeneğini belirleyin.
Kinesis Veri Akımı	Verilerin tüketileceği Kinesis Veri Akımı.
Kinesis İleri Düzey Seçeneklerini Etkinleştir	Aşağıdaki isteğe bağlı gelişmiş yapılandırma değerlerini etkinleştirin. İleri düzey seçenek değerleri, yalnızca bu seçenek seçildiğinde kullanılır; tersi durumda, varsayılan değerler kullanılır. Akıştaki İlk Konum Bu seçenek, yeni yapılandırılmış bir günlük kaynağında hangi verilerin çekileceğini denetler. Kullanılabilir en son verileri çekmek için En Son seçeneğini belirleyin. Kullanılabilir olan en eski verileri çekmek için Kırpma Ufku öğesini seçin. Kinesis Worker İş Parçacığı Sayısı Kinesis Data Stream işlemi için kullanılacak işçi iş parçacıklarının sayısı. Her işçi iş parçacığı, kayıt boyutuna ve sistem yüklerine bağlı olarak saniyede yaklaşık 10000-20000 olaylarını işleyebilir. Günlük kaynağınız akışta yeni verileri işleyemediyse, buradaki iş parçacıklarının sayısını en fazla 16 artışa kadar artırabilirsiniz. İzin verilen aralık 1-16 arasındadır. Varsayılan değer 2 'dir. Denetim Noktası Aralığı Veri sıra numaralarının denetim noktası tarafından kullanılan aralık (saniye). Kinesis Veri Akımında bir shard kaydındaki her kaydın sıra numarası vardır. Konumunuzu işaretlemek, işlem başarısız olursa ya da hizmet yeniden başlatılırsa, bu shard 'ın işlemeyi aynı noktada sürdürmesini sağlar. Daha sık kullanılan bir aralık veri yinelemesini azaltır, ancak Amazon Dynamo DB kullanımını artırır. İzin verilen aralık 1-3600 saniyedir. Varsayılan 10 saniyedir. Kinesis Uygulaması Bu günlük kaynağının, Kinesis Data Stream içindeki kullanılabilir tüm çalılardan veri tüketmesini silmek için bu seçeneği boş bırakın. Birden çok olay işlemcisi üzerinde birden çok günlük kaynağının kayıp ya da çoğaltma olmadan günlük tüketimine sahip olması için, bu günlük kaynakları üzerinde ortak bir Kinesis Uygulaması kullanın (Örnek: ProdKinesisTüketicileri). Bölüm Bir bölüm adı belirterek Kinesis Data Stream içindeki belirli bir bölümden veri toplamak için bu seçeneği belirleyin.
Özgün Olayı Çıkar	Yalnızca Kinesis Veri Akımı için eklenen özgün olayı iletir. Kinesis günlükleri, fazladan meta verilerle aldıkları olayları sona erdirir. Select this option if you want only the original event that was sent to AWS without the additional stream metadata through Kinesis. Özgün olay, Kinesis günlüğünden çıkarılan ileti anahtarına ilişkin değerdir. Aşağıdaki Kinesis günlükleri olayı örneği, vurgulanan metindeki Kinesis günlüğünden çıkarılan özgün olayı gösterir: {"owner":"123456789012","subscriptionFilters":["allEvents"],"logEvents":[{"id":"35093963143971327215510178578576502306458824699048362100","message":"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\",\"principalId\":\"ARO1GH58EM3ESYDW3XHP6:test_session\",\"arn\":\"arn:aws:sts::123456789012:assumed-role\/CVDevABRoleToBeAssumed\/test_visibility_session\",\"accountId\":\"123456789012\",\"accessKeyId\":\"ASIAXXXXXXXXXXXXXXXX\",\"sessionContext\":{\"sessionIssuer\":{\"type\":\"Role\",\"principalId\":\"AROAXXXXXXXXXXXXXXXXX\",\"arn\":\"arn:aws:iam::123456789012:role\/CVDevABRoleToBeAssumed\",\"accountId\":\"123456789012\",\"userName\":\"CVDevABRoleToBeAssumed\"},\"webIdFederationData\":{},\"attributes\":{\"mfaAuthenticated\":\"false\",\"creationDate\":\"2019-11-13T17:01:54Z\"}}},\"eventTime\":\"2019-11-13T17:43:18Z\",\"eventSource\":\"cloudtrail.amazonaws.com\",\"eventName\":\"DescribeTrails\",\"awsRegion\":\"ap-northeast-1\",\"sourceIPAddress\":\"192.0.2.1\",\"requestParameters\":null,\"responseElements\":null,\"requestID\":\"41e62e80-b15d-4e3f-9b7e-b309084dc092\",\"eventID\":\"904b3fda-8e48-46c0-a923-f1bb2b7a2f2a\",\"readOnly\":true,\"eventType\":\"AwsApiCall\",\"recipientAccountId\":\"123456789012\"}","timestamp":1573667733143}],"messageType":"DATA_MESSAGE","logGroup":"CloudTrail\/DefaultLogGroup","logStream":"123456789012_CloudTrail_us-east-2_2"}
Ağ Geçidi Günlük Kaynağı Olarak Kullan	Olaylar için özel bir günlük kaynağı tanıtıcısı tanımlamak istemiyorsanız, onay kutusundaki işareti kaldırın. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneğini belirlemezseniz ve Günlük Kaynağı Tanıtıcısı Örüntüyapılandırmasını yapmazsanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır.
Tahmine Dayalı Ayrıştırma Kullan	Bu parametreyi etkinleştirdiğinizde, bir algoritma, her olay için regex 'i çalıştırmadan günlük kaynak tanıtıcısı kalıplarını olay çıkarır ve bu da ayrıştırma hızını artırır. İpucu: Az rastlanan durumlarda, algoritma yanlış tahminler yapabilir. Tahmine dayalı ayrıştırmayı yalnızca yüksek olay oranları almayı beklediğiniz günlük kaynak tipleri için etkinleştirin ve daha hızlı ayrıştırma gerektirir.
Günlük Kaynağı Tanıtıcısı Kalıbı	Ağ Geçidi Günlük Kaynağı Olarak Kullanseçeneğini belirlediyseniz, işlenmekte olan olaylar için ve uygun olduğunda günlük kaynakları için otomatik olarak keşfedilecek özel bir günlük kaynağı tanımlayıcısı tanımlayabilirsiniz. Günlük Kaynağı Tanıtıcısı Kalıbı' yı yapılandırmadıysanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır. Özel Günlük Kaynağı Tanıtıcısını tanımlamak için anahtar-değer çiftlerini kullanın. Anahtar, sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Bu değer, anahtarı uyarlamak için kullanılabilecek yakalama gruplarını da destekler. Her bir kalıbı yeni bir çizgiden yazarak birden çok anahtar-değer çiftini tanımlayın. Birden çok kalıp, listelendikleri sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir. Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevi gösterilmektedir. Örüntüler `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Olaylar `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Sonuçtaki özel günlük kaynağı tanıtıcısı VPC-ACCEPT-Tamam
Yetkili Sunucu Kullan	QRadar , bir yetkili sunucu kullanarak Amazon Web Service 'e erişirse, bu seçeneği belirleyin. Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu IP ya da Anasistem Adı alanını yapılandırın.
EPS Daraltma	Saniye başına olay sayısı üst sınırına (EPS) ilişkin üst sınır. Varsayılan değer 5000 'dir. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, bu değer isteğe bağlıdır. EPS Throttle parametre değeri boş bırakılırsa, QRadartarafından EPS sınırı uygulanmaz.

AWS CloudWatch Günlükleri

The following table describes the protocol-specific parameters for collecting AWS CloudWatch Logs with the Amazon Web Services protocol:

Tablo 2. Amazon Web Services log source parameters for AWS CloudWatch Logs
Parametre	Açıklama
İletişim Kuralı Yapılandırması	Protocol Configuration (İletişim Kuralı Yapılandırması) listesinden Amazon Web Services seçeneğini belirleyin.
Kimlik doğrulama yöntemi	Erişim Anahtarı Tanıtıcısı/Güvenlik Anahtarı Anahtarı Herhangi bir yerden kullanılabilecek standart kimlik doğrulaması. EC2 Yönetim Ortamı IAM Rolü QRadar yönetilen anasisteminiz bir AWS EC2 örneğinde çalıştırılıyorsa, bu seçeneği belirlediğinizde kimlik doğrulama için eşgörünüme atanmış meta verilerden IAM rolü kullanılır. Anahtar gerekmez. Bu yöntem, yalnızca bir AWS EC2 kapsayıcısı içinde çalışan yönetilen anasistemler için çalışır.
Erişim Anahtarı	The Access Key ID that was generated when you configured the security credentials for your AWS user account. Access Key ID/Secret Key (Anahtar Tanıtıcısı/Güvenlik Anahtarı Anahtarı) ya da Insay IAM Role(IAM Rolü Varsay) seçeneğini belirlediyseniz, Access Key parametresi
Gizli Anahtar	AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırdığınızda oluşturulan Gizli Anahtar. Erişim Anahtarı Tanıtıcısı/Gizli Anahtarı ya da İAM Rolünün üstlenilmesiseçeneğini belirlediyseniz, Gizli Anahtar parametresi görüntülenir.
IAM Rolünün Varsay	Bir Erişim Anahtarı ya da EC2 eşgörünüm IAM Rolü ile kimlik doğrulaması yaparak bu seçeneği etkinleştirin. Daha sonra, erişim için bir IAM Rolünün geçici olarak varolduğunu tahmin edebilirsiniz.
Rol ARN ' i varsay	Varsayma rolünün tam ARN ' i. `arn:` ile başlamalı ve başında ya da sonunda boşluk ya da ARN içinde boşluk bulunamaz. IAM Role varsayseçeneğini etkinleştirdiyseniz, Rin Role ARN (Rol ARN) parametresinin görüntülendiğini varsayalım.
Rol Oturumu Adını Varsay	Varsayma rolünün oturum adı. Varsayılan değer `QRadarAWSSession`' dir. Değiştirmeniz gerekmiyorsa, varsayılan değeri olarak bırakın. Bu parametre yalnızca üst ve küçük harfli alfasayısal karakterleri, alt çizgileri ya da şu karakterlerden herhangi birini içerebilir: `=,.@-` IAM Rolünün üstlenilsinözelliğini etkinleştirdiyseniz, Rol Oturumu Adının Varsay parametresi görüntülenir.
Bölgeler	Günlükleri toplamak istediğiniz Amazon Web Hizmeti ile ilişkili her bölgeyi açın.
AWS Hizmeti	AWS Service listesinden CloudWatch Logs(CloudWatch Günlükleri) seçeneğini belirleyin.
Günlük Grubu	Günlükleri toplamak istediğiniz Amazon CloudWatch ' da günlük grubunun adı. İpucu: Tek bir günlük kaynağı, bir kerede bir günlük grubundan CloudWatch günlüklerini toplar. Birden çok günlük grubundan günlük toplamak istiyorsanız, her bir günlük grubu için ayrı bir günlük kaynağı yaratın.
CloudWatch Gelişmiş Seçeneklerini Etkinleştir	Aşağıdaki isteğe bağlı gelişmiş yapılandırma değerlerini etkinleştirin. İleri düzey seçenek değerleri, yalnızca bu seçenek seçildiğinde kullanılır; tersi durumda, varsayılan değerler kullanılır. Günlük Akışı Bir günlük grubu içindeki günlük akısının adı. Günlük grubundaki tüm günlük akışlarından günlükler toplamak istiyorsanız, bu alanı boş bırakın. Süzgeç Kalıbı Toplanan olayları süzmek için bir kalıp yazın. Bu örüntü, bir regex süzgeci değil. Yalnızca, belirlediğiniz değeri tam olarak içeren olaylar CloudWatch günlüklerinden toplanır. Süzgeç Örüntü değeri olarak ACCEPT yazarsanız, yalnızca ACCEPT sözcüğünü içeren olaylar aşağıdaki örnekte gösterildiği gibi toplanır. `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Olay Gecikmesi Veri toplamak için saniye cinsinden gecikme. Diğer Bölge (ler) Kullanımdan kaldırıldı. Onun yerine Bölgeler ' i kullanın.
Özgün Olayı Çıkar	Yalnızca CloudWatch Günlüklerine eklenen özgün olayı iletir. CloudWatch günlükleri, fazladan meta verilerle aldıkları olayları sona erdirir. Select this option if you want to collect only the original event that was sent to AWS without the additional stream metadata through CloudWatch Logs. Özgün olay, CloudWatch günlüğünden çıkarılan ileti anahtarına ilişkin değerdir. Aşağıdaki CloudWatch Günlükler olayı örneği, vurgulanan metindeki CloudWatch Günlüklerinden çıkarılan özgün olayı gösterir: {LogStreamName: 123456786_CloudTrail_us-east-2,Timestamp: 1505744407363, Message: {"eventVersion":"1.05","userIdentity":{"type":"IAMUser","principalId":"AAAABBBCCCDDDBBBCCC","arn":"arn:aws:iam::1234567890:user/<username>","accountId":"1234567890","accessKeyId":"AAAABBBBCCCCDDDD","userName":"User-Name","sessionContext":{"attributes":{"mfaAuthenticated":"false","creationDate":"2017-09-18T13:22:10Z"}},"invokedBy":"signin.amazonaws.com"},"eventTime":"2017-09-18T14:10:15Z","eventSource":"cloudtrail.amazonaws.com","eventName":"DescribeTrails","awsRegion":"us-east-1","sourceIPAddress":"192.0.2.1","userAgent":"signin.amazonaws.com","requestParameters":{"includeShadowTrails":false,"trailNameList":[]},"responseElements":null,"requestID":"11b1a00-7a7a-11a1-1a11-44a4aaa1a","eventID":"a4914e00-1111-491d-bbbb-a0dd3845b302","eventType":"AwsApiCall","recipientAccountId":"1234567890"},IngestionTime: 1505744407506,EventId: 335792223611111122479126672222222513333}
Ağ Geçidi Günlük Kaynağı Olarak Kullan	Olaylar için özel bir günlük kaynağı tanıtıcısı tanımlamak istemiyorsanız, onay kutusundaki işareti kaldırın. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneğini belirlemezseniz ve Günlük Kaynağı Tanıtıcısı Örüntüyapılandırmasını yapmazsanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır.
Tahmine Dayalı Ayrıştırma Kullan	Bu parametreyi etkinleştirdiğinizde, bir algoritma, her olay için regex 'i çalıştırmadan günlük kaynak tanıtıcısı kalıplarını olay çıkarır ve bu da ayrıştırma hızını artırır. İpucu: Az rastlanan durumlarda, algoritma yanlış tahminler yapabilir. Tahmine dayalı ayrıştırmayı yalnızca yüksek olay oranları almayı beklediğiniz günlük kaynak tipleri için etkinleştirin ve daha hızlı ayrıştırma gerektirir.
Günlük Kaynağı Tanıtıcısı Kalıbı	Ağ Geçidi Günlük Kaynağı Olarak Kullanseçeneğini belirlediyseniz, işlenmekte olan olaylar için ve uygun olduğunda günlük kaynakları için otomatik olarak keşfedilecek özel bir günlük kaynağı tanımlayıcısı tanımlayabilirsiniz. Günlük Kaynağı Tanıtıcısı Kalıbı' yı yapılandırmadıysanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır. Özel Günlük Kaynağı Tanıtıcısını tanımlamak için anahtar-değer çiftlerini kullanın. Anahtar, sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Bu değer, anahtarı uyarlamak için kullanılabilecek yakalama gruplarını da destekler. Her bir kalıbı yeni bir çizgiden yazarak birden çok anahtar-değer çiftini tanımlayın. Birden çok kalıp, listelendikleri sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir. Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevi gösterilmektedir. Örüntüler `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Olaylar `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Sonuçtaki özel günlük kaynağı tanıtıcısı VPC-ACCEPT-Tamam
Yetkili Sunucu Kullan	QRadar , bir yetkili sunucu kullanarak Amazon Web Service 'e erişirse, bu seçeneği belirleyin. Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu IP ya da Anasistem Adı alanını yapılandırın.
EPS Daraltma	Saniye başına olay sayısı üst sınırına (EPS) ilişkin üst sınır. Varsayılan değer 5000 'dir. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, bu değer isteğe bağlıdır. EPS Throttle parametre değeri boş bırakılırsa, QRadartarafından EPS sınırı uygulanmaz.

Amazon Simple Queue Service (SQS)

Aşağıdaki çizelge, Amazon SQS günlük kaynaklarını Amazon Web Services iletişim kuralıyla toplamak için kullanılacak protokole özgü parametreleri göstermektedir:

Tablo 3. Amazon SQS içinAmazon Web Services günlük kaynağı parametreleri
Parametre	Açıklama
İletişim Kuralı Yapılandırması	Protocol Configuration (İletişim Kuralı Yapılandırması) listesinden Amazon Web Services seçeneğini belirleyin.
Kimlik doğrulama yöntemi	Erişim Anahtarı Tanıtıcısı/Güvenlik Anahtarı Anahtarı Herhangi bir yerden kullanılabilecek standart kimlik doğrulaması. EC2 Yönetim Ortamı IAM Rolü QRadar yönetilen anasisteminiz bir AWS EC2 örneğinde çalıştırılıyorsa, bu seçeneği belirlediğinizde kimlik doğrulama için eşgörünüme atanmış meta verilerden IAM rolü kullanılır. Anahtar gerekmez. Bu yöntem, yalnızca bir AWS EC2 kapsayıcısı içinde çalışan yönetilen anasistemler için çalışır.
Erişim Anahtarı	The Access Key ID that was generated when you configured the security credentials for your AWS user account. Access Key ID/Secret Key (Anahtar Tanıtıcısı/Güvenlik Anahtarı Anahtarı) ya da Insay IAM Role(IAM Rolü Varsay) seçeneğini belirlediyseniz, Access Key parametresi
Gizli Anahtar	AWS kullanıcı hesabınıza ilişkin güvenlik kimlik bilgilerini yapılandırdığınızda oluşturulan Gizli Anahtar. Erişim Anahtarı Tanıtıcısı/Gizli Anahtarı ya da İAM Rolünün üstlenilmesiseçeneğini belirlediyseniz, Gizli Anahtar parametresi görüntülenir.
IAM Rolünün Varsay	Bir Erişim Anahtarı ya da EC2 eşgörünüm IAM Rolü ile kimlik doğrulaması yaparak bu seçeneği etkinleştirin. Daha sonra, erişim için bir IAM Rolünün geçici olarak varolduğunu tahmin edebilirsiniz.
Rol ARN ' i varsay	Varsayma rolünün tam ARN ' i. `arn:` ile başlamalı ve başında ya da sonunda boşluk ya da ARN içinde boşluk bulunamaz. IAM Role varsayseçeneğini etkinleştirdiyseniz, Rin Role ARN (Rol ARN) parametresinin görüntülendiğini varsayalım.
Rol Oturumu Adını Varsay	Varsayma rolünün oturum adı. Varsayılan değer `QRadarAWSSession`' dir. Değiştirmeniz gerekmiyorsa, varsayılan değeri olarak bırakın. Bu ad yalnızca büyük ya da küçük harfli alfasayısal karakterler, altçizgi karakterleri ya da şu karakterlerden herhangi birini içerebilir: `=,.@-` IAM Rolünün üstlenilsinözelliğini etkinleştirdiyseniz, Rol Oturumu Adının Varsay parametresi görüntülenir.
Bölgeler	Günlükleri toplamak istediğiniz Amazon Web Hizmeti ile ilişkili her bölgeyi açın.
AWS Hizmeti	AWS Service (AWS Hizmeti) listesinden SQS Kuyruğuseçeneğini belirleyin.
SQS Kuyruğu URL 'si	The full URL of the SQS queue to pull data from, starting with `https://`, such as `https://sqs.us-east-2.amazonaws.com/1234567890123/CloudTrail_SQS_QRadar`. Daha fazla bilgi için bkz. Amazon S3 Event Notifications (https://docs.aws.amazon.com/AmazonS3/latest/dev/NotificationHowTo.html).
Özgün Olayı Çıkar	Yalnızca, SQS kuyruğuna eklenen özgün olayı QRadar' e iletin, bu seçeneği belirleyin.
Özgün Olay JSON Öğesi	Bu seçeneği, SQS ile özgün olayı ayıklamak için kullandığınızda, özgün olay belirli bir JSON öğesinde olabilir. Böyle bir durumda, özgün olayı içeren en üst düzey JSON öğesinin adını belirtmeniz gerekir. Bu seçenek, o öğe içinde yer alan tüm verileri de geri alır. Örneğin, `Message` öğesi kullanıldığında, kök öğeyi alır ve gerekirse içiçe yerleştirilmiş JSON ' dan çıkar. `{ "Type" : "Notification", "MessageId" : "6d11936e-2361-5dc1-a689-c590f69c73da", "Subject" : "Test Notification", "Message" : "{\"eventVersion\":\"2.1\", \"eventSource\":\"aws:s3\", \"awsRegion\":\"us-east-1\", \"eventTime\":\"2020-04-01T17:47:39.107Z\"}" }` Bu çıkarılan özgün olay şu anda çıkarılmamış veriler olarak görünür: `{"eventVersion":"2.1", "eventSource":"aws:s3", "awsRegion":"us-east-1", "eventTime":"2020-04-01T17:47:39.107Z"}`
Ağ Geçidi Günlük Kaynağı Olarak Kullan	Olaylar için özel bir günlük kaynağı tanıtıcısı tanımlamak istemiyorsanız, onay kutusundaki işareti kaldırın. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneğini belirlemezseniz ve Günlük Kaynağı Tanıtıcısı Örüntüyapılandırmasını yapmazsanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır.
Tahmine Dayalı Ayrıştırma Kullan	Bu parametreyi etkinleştirdiğinizde, bir algoritma, her olay için regex 'i çalıştırmadan günlük kaynak tanıtıcısı kalıplarını olay çıkarır ve bu da ayrıştırma hızını artırır. İpucu: Az rastlanan durumlarda, algoritma yanlış tahminler yapabilir. Tahmine dayalı ayrıştırmayı yalnızca yüksek olay oranları almayı beklediğiniz günlük kaynak tipleri için etkinleştirin ve daha hızlı ayrıştırma gerektirir.
Günlük Kaynağı Tanıtıcısı Kalıbı	Ağ Geçidi Günlük Kaynağı Olarak Kullanseçeneğini belirlediyseniz, özel bir günlük kaynağı tanımlayıcısı tanımlayabilirsiniz. Bu seçenek, işlenmekte olan olaylar ve geçerli olduğunda günlük kaynaklarının otomatik olarak keşfedilmesi için tanımlanabilir. Günlük Kaynağı Tanıtıcısı Kalıbı' yı yapılandırmadıysanız, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır. Özel Günlük Kaynağı Tanıtıcısını tanımlamak için anahtar-değer çiftlerini kullanın. Anahtar, sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Bu değer, anahtarı uyarlamak için kullanılabilecek yakalama gruplarını da destekler. Her bir kalıbı yeni bir çizgiden yazarak birden çok anahtar-değer çiftini tanımlayın. Birden çok kalıp, listelendikleri sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir. Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevi gösterilmektedir. Örüntüler `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Olaylar `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Sonuçtaki özel günlük kaynağı tanıtıcısı VPC-ACCEPT-Tamam
Yetkili Sunucu Kullan	QRadar , bir yetkili sunucu kullanarak Amazon Web Service 'e erişirse, bu seçeneği belirleyin. Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu IP ya da Anasistem Adı alanını yapılandırın.
EPS Daraltma	Saniye başına olay sayısı üst sınırına (EPS) ilişkin üst sınır. Varsayılan değer 5000 'dir. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, bu değer isteğe bağlıdır. EPS Throttle parametre değeri boş bırakılırsa, QRadartarafından EPS sınırı uygulanmaz.