OPSEC/LEA 协议配置选项
要在端口 18184 上接收事件,请配置日志源以使用 OPSEC/LEA 协议。
OPSEC/LEA 协议是出站/活动协议。
下表描述了 OPSEC/LEA 协议的特定于协议的参数:
| 参数 | 描述 |
|---|---|
| 协议配置 | 作战安全/执法机构 |
| 日志源标识 | 用于标识设备的 IP 地址,主机名或任何名称。 对于日志源类型,必须唯一。 |
| 服务器 IP | 输入服务器的 IP 地址。 |
| 服务器端口 | 用于 OPSEC 通信的端口号。 有效范围为 0-65,536 ,缺省值为 18184。 |
| 将服务器 IP 用于日志源 | 如果要使用 LEA 服务器 IP 地址而不是日志源的受管设备 IP 地址,请选中 将服务器 IP 用于日志源 复选框。 缺省情况下,此复选框处于选中状态。 |
| 统计信息报告时间间隔 | 在 qradar.log 文件中记录系统日志事件数的时间间隔 (以秒计)。 有效范围为 4-2,147,483,648 ,缺省时间间隔为 600。 |
| 认证类型 | 从列表中,选择要用于此 LEA 配置的 认证类型 。 选项为 sslca (缺省值) , sslca_clear或 clear。 此值必须与服务器使用的认证方法匹配。 |
| OPSEC 应用程序对象 SIC 属性 (SIC 名称) | 安全内部通信 (SIC) 名称是应用程序的专有名称 (DN); 例如: CN=LEA, o=fwconsole..7psasx。 |
| 日志源 SIC 属性 (实体 SIC 名称) | 服务器的 SIC 名称,例如: cn=cp_mgmt,o=fwconsole..7psasx。 |
| 指定证书 | 如果要为此 LEA 配置定义证书,请选中此复选框。 当需要证书时, QRadar 会尝试使用这些参数来检索证书。 |
| 证书文件名 | 仅当选择了 指定证书 时,才会显示此选项。 输入要用于此配置的证书的文件名。 证书文件必须位于 /opt/qradar/conf/ trusted_certificates/lea 目录中。 |
| 认证中心 IP | 输入检查点管理器服务器 IP 地址。 |
| 拉取证书密码 | 输入激活密钥密码。 |
| OPSEC 应用程序 | 发出证书请求的应用程序的名称。 |
| 已启用 | 选中此复选框以启用日志源。 缺省情况下,此复选框处于选中状态。 |
| 可信性 | 从列表中,选择日志源的 可信性 。 范围介于 0 到 10 之间。 可信性指示事件或攻击的完整性,由源设备的可信性评级确定。 如果多个源报告同一事件,那么可信性会增加。 缺省值为 5。 |
| 目标事件收集器 | 从列表中,选择要用作日志源的目标的 目标事件收集器 。 |
| 结合事件 | 选中 合并事件 复选框以允许日志源合并 (捆绑) 事件。 缺省情况下,自动发现的日志源会从 QRadar中的 "系统设置" 继承 Coalescing Events 列表的值。 创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖缺省值。 |
| 存储事件有效内容 | 选中 存储事件有效内容 复选框以允许日志源存储事件有效内容信息。 缺省情况下,自动发现的日志源从 QRadar中的 "系统设置" 继承 存储事件有效内容 列表的值。 创建日志源或编辑现有配置时,可以通过为每个日志源配置此选项来覆盖缺省值。 |
重要信息: 如果在升级后收到错误消息 无法拉取 SSL 证书 ,请执行以下步骤:
- 取消选中 指定证书 复选框。
- 重新输入 拉取证书密码的密码。