Google Cloud Pub/Sub 通訊協定配置選項

Google Cloud Pub/Sub 通訊協定是 IBM® QRadar® 的出埠/作用中通訊協定,可收集 Google Cloud Platform (GCP) 日誌。

如果未啟用自動更新,請從 IBM 支援網站下載 GoogleCloudPubSub 通訊協定 RPM。
重要事項: QRadar 7.3.2.6(建置號碼 20191022133252 或更新版本) 上支援 Google Cloud Pub/Sub 通訊協定。
下表說明使用 Google Cloud Pub/Sub 通訊協定收集 Google Cloud Pub/Sub 日誌的特定通訊協定參數:
表 1. Google Cloud Pub/Sub 的 Google Cloud Pub/Sub 日誌來源參數
參數 說明
Service Account Credential Type

指定所需「服務帳戶認證」的來源。

請確定相關聯的服務帳戶對 GCP 中所配置的 訂閱名稱 具有 發佈/訂閱訂閱者 角色或更具體的 pubsub.subscriptions.consume 許可權。

使用者管理的金鑰
透過從下載的「服務帳戶金鑰」輸入完整 JSON 文字,在 服務帳戶金鑰 欄位中提供。
GCP 受管理金鑰
請確定 QRadar 受管理主機正在 GCP Compute 實例中執行,且 Cloud API 存取範圍包括 Cloud Pub/Sub。
Service Account Key

在 Google Cloud Platform (GCP) 的 IAM 與管理者 > 服務帳戶 小節中為服務帳戶建立 使用者管理的金鑰 時所下載的 JSON 檔案中的全文。

範例: 

{
  "type": "service_account",
  "project_id": "qradar-test-123456",
  "private_key_id": "453422aa6efb1c2de189f12d725c417c8346033b",
  "private_key": "-----BEGIN PRIVATE KEY-----\\n<MULTILINE PRIVATE KEY DATA>\\n-----END PRIVATE KEY-----\\n",
  "client_email": "pubsubtest@qradar-test-123456.iam.gserviceaccount.com",
  "client_id": "526344196064252652671",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://oauth2.googleapis.com/token",
  "auth_provider_x509_cert_url": "https://www.googleapis.com/oauth2/v1/certs",
  "client_x509_cert_url": "https://www.googleapis.com/robot/v1/metadata/x509/pubsubtest%40qradar-test-123456.iam.gserviceaccount.com"
}
Subscription Name Cloud Pub/Sub 訂閱的完整名稱。 例如,projects/my-project/subscriptions/my-subscription
Use As A Gateway Log Source

選取此選項,以讓收集的事件流經 QRadar Traffic Analysis 引擎,並讓 QRadar 自動偵測一個以上日誌來源。

當您選取此選項時,可以選擇性地使用 日誌來源 ID 型樣 來定義所處理事件的自訂 日誌來源 ID
Log Source Identifier Pattern

當選取 使用作為閘道日誌來源 選項時,請使用此選項來定義所處理事件的自訂日誌來源 ID。 如果未配置 日誌來源 ID 型樣 ,則 QRadar 會接收事件作為不明一般日誌來源。

日誌來源 ID 型樣 欄位接受鍵值組 (例如 key= value) ,以針對正在處理的事件以及要在適用時自動探索的日誌來源定義自訂「日誌來源 ID」。 金鑰 是 ID 格式字串,它是產生的來源值或原始值。 值是用來評估現行有效負載的相關聯 regex 型樣。 值 (regex 型樣) 也支援擷取群組,可用來進一步自訂金鑰 (ID 格式字串)。

在新行上鍵入每一個型樣,即可定義多個鍵值組。 當使用多個型樣時,會依序評估它們,直到找到相符項為止。 找到相符項時,會顯示自訂日誌來源 ID。

下列範例顯示多重鍵值組功能:
型樣
VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)
事件
{LogStreamName: LogStreamTest,Timestamp: 0,Message: ACCEPT OK,IngestionTime: 0,EventId: 0}
產生的自訂日誌來源 ID
VPC-ACCEPT-正常
Use Predictive Parsing

如果您啟用此參數,則演算法會從事件中擷取日誌來源 ID 型樣,而不執行每一個事件的正規表示式,這會增加剖析速度。

提示: 在極少數情況下,演算法可能會做出不正確的預測。 僅針對您預期收到高事件率且需要更快速剖析的日誌來源類型啟用預測剖析。
Use Proxy

選取這個選項,讓 QRadar 使用 Proxy 來連接 GCP。

如果 Proxy 需要鑑別,請配置 Proxy 伺服器Proxy 埠Proxy 使用者名稱Proxy 密碼 欄位。

如果 Proxy 不需要鑑別,請配置 Proxy 伺服器Proxy 埠 欄位。
Proxy IP or Hostname Proxy 伺服器的 IP 或主機名稱。
Proxy Port 用來與 Proxy 伺服器通訊的埠號。

預設值是 8080。
Proxy Username 只有在 Proxy 需要鑑別時才需要。
Proxy Password 只有在 Proxy 需要鑑別時才需要。
EPS 節流控制

此日誌來源不應超出的每秒事件數 (EPS) 上限。 預設值為 5000。

如果選取 使用作為閘道日誌來源 選項,則此值是選用的。

如果 EPS 節流控制 參數值保留空白,則 QRadar不會強制 EPS 限制。