Google Cloud Pub/Sub iletişim kuralı yapılandırma seçenekleri

Google Cloud Pub/Sub iletişim kuralı, IBM® QRadar® için Google Cloud Platform (GCP) günlüklerini toplayan bir giden/etkin iletişim kuralıdır.

If automatic updates are not enabled, download the GoogleCloudPubSub protocol RPM from the IBM destek web sitesi.

Önemli: Google Cloud Pub/Sub iletişim kuralı, QRadar 7.3.2.6, oluşturma numarası 20191022133252 ya da sonraki bir sürümü üzerinde desteklenir.

Aşağıdaki tabloda, Google Cloud Pub/Sub iletişim kuralı ile Google Cloud Pub/Sub günlüklerinin toplanmasını içeren protokole özgü parametreler açıklanmaktadır:

Tablo 1. Google Cloud Pub/SubiçinGoogle Cloud Pub/Sub günlük kaynağı parametreleri
Parametre	Açıklama
Service Account Credential Type	Gerekli Hizmet Hesabı Kimlik Bilgileri 'nin nereden geldiğini belirtin. İlişkili hizmet hesabının Pub/Alt Abone rolü ya da GCP ' de yapılandırılmış Abonelik Adı için daha özel pubsub.subscriptions.consume iznine sahip olduğundan emin olun. Kullanıcı Tarafından Yönetilen Anahtar Karşıdan yüklenen bir Hizmet Hesabı Anahtarından tam JSON metnini girilerek Hizmet Hesabı Anahtarı alanında sağlanır. GCP Yönetilen Anahtarı Ensure that the QRadar managed host is running in a GCP Compute instance and the Cloud API access scopes include Cloud Pub/Sub.
Service Account Key	The full text from the JSON file that was downloaded when you created a Kullanıcı Tarafından Yönetilen Anahtar for a service account in the IAM & ydm > Hizmet hesapları section in Google Cloud Platform (GCP). Örnek: { "type": "service_account", "project_id": "qradar-test-123456", "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b", "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n", "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com", "client_id": "526344196064252652671", "auth_uri": "https://accounts.google.com/o/oauth2/auth", "token_uri": "https://oauth2.googleapis.com/token", "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs", "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com" }
Subscription Name	Bulut Pub/Alt aboneliğinin tam adı. Örneğin, projects/my-project/subscriptions/my-subscription.
Use As A Gateway Log Source	Toplanan olayların QRadar Trafik Analizi motoru üzerinden akması ve QRadar için bir ya da daha fazla günlük kaynağının otomatik olarak algılaması için bu seçeneği belirleyin. Bu seçeneği belirlediğinizde, Günlük Kaynağı Tanıtıcısı Örüntü isteğe bağlı olarak işlenmekte olan olaylar için özel bir Günlük Kaynağı Tanıtıcısı tanımlamak için kullanılabilir.
Log Source Identifier Pattern	Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, işlenen olaylar için özel bir günlük kaynağı tanıtıcısı tanımlamak için bu seçeneği kullanın. Log Source Identifier Pattern (Günlük Kaynağı Tanıtıcısı Örüntü) yapılandırılmamışsa, QRadar olayları bilinmeyen soysal günlük kaynakları olarak alır. The Günlük Kaynağı Tanıtıcısı Örüntü field accepts key-value pairs, such as anahtar=value, to define the custom Log Source Identifier for events that are being processed and for log sources to be automatically discovered when applicable. Anahtar , sonuçtaki kaynak ya da başlangıç değeri olan Tanıtıcı Biçimi Dizgisidir. Değer, yürürlükteki bilgi yükünü değerlendirmek için kullanılan ilişkili regex örüntüsidir. Değer (regex pattern) ayrıca, anahtarı (Tanıtıcı Biçimi Dizgisi) uyarlamak için kullanılabilecek yakalama gruplarını da destekler. Birden çok anahtar-değer çifti, her örüntüye yeni bir çizgiden yazılarak tanımlanabilir. Birden çok örüntü kullanıldığında, bir eşleşme bulununcaya kadar bunlar sırayla değerlendirilir. Bir eşleşme bulunduğunda, özel bir Günlük Kaynağı Tanıtıcısı görüntülenir. Aşağıdaki örneklerde birden çok anahtar-değer çifti işlevselliği gösterilmektedir: Örüntüler `VPC=\sREJECT\sFAILURE` `$1=\s(REJECT)\sOK` `VPC-$1-$2=\s(ACCEPT)\s(OK)` Olaylar `{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}` Sonuçtaki özel günlük kaynağı tanıtıcısı VPC-ACCEPT-Tamam
Use Predictive Parsing	Bu parametreyi etkinleştirdiğinizde, bir algoritma, her olay için regex 'i çalıştırmadan günlük kaynak tanıtıcısı kalıplarını olay çıkarır ve bu da ayrıştırma hızını artırır. İpucu: Az rastlanan durumlarda, algoritma yanlış tahminler yapabilir. Tahmine dayalı ayrıştırmayı yalnızca yüksek olay oranları almayı beklediğiniz günlük kaynak tipleri için etkinleştirin ve daha hızlı ayrıştırma gerektirir.
Use Proxy	Bir yetkili sunucu kullanarak GCP ' ye bağlanmak için QRadar için bu seçeneği belirleyin. Yetkili sunucu kimlik doğrulaması gerektiriyorsa, Yetkili Sunucu, Yetkili Sunucu Kapısı, Yetkili Sunucu Kullanıcı Adıve Yetkili Sunucu Parolası alanlarını yapılandırın. Yetkili sunucu kimlik doğrulaması gerektirmiyorsa, Yetkili Sunucu ve Yetkili Sunucu Kapısı alanlarını yapılandırın.
Proxy IP or Hostname	Yetkili sunucunun IP ya da anasistem adı.
Proxy Port	Yetkili sunucu ile iletişim kurmak için kullanılan kapı numarası. Varsayılan değer 8080 'dir.
Proxy Username	Yalnızca yetkili sunucu kimlik doğrulaması gerektirdiğinde gereklidir.
Proxy Password	Yalnızca yetkili sunucu kimlik doğrulaması gerektirdiğinde gereklidir.
EPS Daraltma	Bu günlük kaynağının geçmemesi gereken en fazla olay sayısı üst sınırı (EPS). Varsayılan değer 5000 'dir. Ağ Geçidi Günlük Kaynağı Olarak Kullan seçeneği seçiliyse, bu değer isteğe bağlıdır. EPS Throttle parametre değeri boş bırakılırsa, QRadartarafından EPS sınırı uygulanmaz.