TLS Syslog プロトコルの構成オプション
各リスナー・ポートに対して TLS Syslog イベント転送をサポートする、最大 50 台のネットワーク・デバイスから暗号化された syslog イベントを受信するように、TLS Syslog プロトコル・ログ・ソースを構成します。
TLS Syslog プロトコルはインバウンド/パッシブ・プロトコルです。ログ・ソースは、着信 TLS Syslog イベントの listen ポートを作成します。デフォルトでは、TLS Syslog ログ・ソースは、IBM® QRadar® によって生成された証明書と鍵を使用します。最大 50 台のネットワーク・アプライアンスが、イベントをログ・ソースの listen ポートに転送することができます。固有の listen ポートを使用してログ・ソースを追加作成する場合は、最大で 1000 のネットワーク・アプライアンスを構成できます。
TLS Syslog プロトコル用のプロトコル固有のパラメーターについて、以下の表で説明します。
| パラメーター | 説明 |
|---|---|
| プロトコル構成 | TLS Syslog |
| ログ・ソース ID | ログ・ソースを識別する IP アドレスまたはホスト名。 |
| TLS listen ポート | デフォルトの TLS listen ポートは 6514 です。 |
| 認証モード (Authentication Mode) | TLS 接続が認証に使用するモード。「TLS およびクライアント認証 (TLS and Client Authentication)」オプションを選択した場合は、証明書パラメーターを構成する必要があります。 |
| クライアント証明書認証 (Client Certificate Authentication) |
リストから以下のいずれかのオプションを選択します。
|
| CN 許可リストを使用 (Use CN Allowlist) | CN 許可リストを使用するには、このパラメーターを有効にします。 |
| CN 許可リスト (CN Allowlist) | 信頼できるクライアント証明書の共通名の許可リスト。プレーン・テキストまたは正規表現 (regex) を入力できます。複数の項目を定義するには、別々の行に 1 つずつ入力します。 |
| 発行者検査を使用 (Use Issuer Verification) | 発行者検査を使用するには、このパラメーターを有効にします。 |
| ルート/中間発行者の証明書または公開鍵 (Root/Intermediate Issuer's Certificate or Public key) | ルート/中間発行者の証明書または公開鍵を PEM 形式で入力します。
|
| 証明書失効の確認 (Check Certificate Revocation) | クライアント証明書に対する証明書失効状況を確認します。このオプションを使用するには、X509v3 拡張のクライアント証明書の「CRL 配布ポイント (CRL Distribution Points)」フィールドで指定された URL へのネットワーク接続が必要です。 |
| 証明書使用の確認 (Check Certificate Usage) | 「鍵使用 (Key Usage)」および「拡張鍵使用 (Extended Key Usage)」の拡張フィールドの証明書 X509v3 拡張の内容を確認します。着信クライアント証明書の場合、X509v3 鍵使用の許可値は、digitalSignature および keyAgreement です。X509v3 拡張鍵使用の許可値は、TLS Web Client Authentication です。 このプロパティーは、デフォルトでは無効になっています。 |
| クライアント証明書パス (Client Certificate Path) |
ディスク上のクライアント証明書の絶対パス。証明書は、このログ・ソースのQRadar コンソールまたはイベント・コレクターに保管する必要があります。 重要:
入力する証明書ファイルが以下で始まっていることを確認します。 -----BEGIN CERTIFICATE----- 以下で終わっていることを確認します。 -----END CERTIFICATE----- |
| サーバー証明書タイプ (Server Certificate Type) | サーバー証明書およびサーバー鍵での認証に使用する証明書のタイプ。 「サーバー証明書タイプ (Server Certificate
Type)」リストから、次のオプションのいずれかを選択します。
|
| 生成された証明書 (Generated Certificate) |
このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。 サーバー証明書およびサーバー鍵として QRadar によって生成されたデフォルトの証明書および鍵を使用する場合は、このオプションを選択します。 生成された証明書には、ログ・ソースが割り当てられているターゲット・イベント・コレクターの /opt/qradar/conf/trusted_certificates/ ディレクトリー内で syslog-tls.cert という名前が付けられます。 |
| 単一証明書と秘密鍵 (Single Certificate and Private Key) |
このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。 サーバー証明書に単一の PEM 証明書を使用する場合は、このオプションを選択してから、以下のパラメーターを構成します。
|
| PKCS12 証明書とパスワード (PKCS12 Certificate and Password) |
このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。 サーバー証明書とサーバー鍵が含まれている PKCS12 ファイルを使用する場合は、このオプションを選択してから、以下のパラメーターを構成します。
|
| QRadar 証明書ストアから選択 (Choose from QRadar Certificate Store) | このオプションは、「証明書タイプ (Certificate Type)」を構成した場合に使用可能になります。 証明書管理アプリケーションを使用して、QRadar 証明書ストアから証明書をアップロードすることができます。 このアプリケーションは、QRadar 7.3.3 フィックスパック 6 以降、および QRadar 7.4.2 以降でサポートされています。 |
| ペイロードの最大長 (Max Payload Length) | TLS Syslog メッセージに表示されるペイロードの最大長 (文字数)。 |
| 最大接続数 (Maximum Connections) |
「最大接続数 (Maximum Connections)」パラメーターは、各イベント・コレクターについて TLS Syslog プロトコルが許容できる同時接続の数を制御します。 各イベント・コレクターについて、すべての TLS Syslog ログ・ソース構成で 1000 接続の制限があります。各デバイス接続のデフォルトは 50 です。 ヒント: 自動的にディスカバーされたログ・ソースは、別のログ・ソースとリスナーを共有します。例えば、同じイベント・コレクターで同じポートを使用する場合は、この制限に対して 1 回のみカウントされます。
|
| 「TLS プロトコル (TLS Protocols)」 | ログ・ソースにより使用される TLS プロトコル。次のオプションのいずれかを選択します。
セキュリティーの脆弱性を回避するには、TLS 1.2 以降を使用します。 |
| ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source) |
適切なログ・ソースが自動的に検出されるように、収集したイベントを QRadar トラフィック分析エンジンを介して送信します。 イベントのカスタム・ログ・ソース ID を定義しない場合は、チェック・ボックスをクリアします。 このオプションを選択せず、「ログ・ソース ID パターン (Log Source Identifier Pattern)」も構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受信します。 |
| ログ・ソース ID パターン (Log Source Identifier Pattern) |
「ゲートウェイ・ログ・ソースとして使用 (Use As A Gateway Log Source)」オプションを使用して、処理中のイベントと該当する場合に自動的にディスカバーされるログ・ソースのカスタム・ログ・ソース ID を定義します。「ログ・ソース ID パターン (Log Source Identifier Pattern)」を構成しない場合、QRadar は、不明な汎用ログ・ソースとしてイベントを受信します。 カスタム・ログ・ソース ID を定義するには、キーと値のペアを使用します。このキーは ID フォーマット・ストリングであり、生成されたソース値またはオリジン値です。この値は、現在のペイロードを評価するために使用される、関連付けられた正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャー・グループもサポートします。 各パターンを新しい行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされている順序で評価されます。一致が見つかると、カスタム・ログ・ソース ID が表示されます。 次の例では複数のキーと値のペアの機能を示します。
|
| 複数行を使用可能にする (Enable Multiline) | 「開始/終了に一致 (Start/End Matching)」正規表現または「ID でリンク (ID-Linked)」正規表現に基づいて、複数のメッセージを単一のイベントに集約します。 |
| 集約方法 (Aggregation Method) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。
|
| イベント開始パターン (Event Start Pattern) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」が「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。 TCP 複数行イベント・ペイロードの開始を識別するために、正規表現 (regex) が必要です。通常、Syslog ヘッダーの先頭は日付またはタイム・スタンプです。このプロトコルで、イベント開始パターン (タイム・スタンプなど) のみに基づく単一行イベントを作成できます。開始パターンしか使用できない場合、このプロトコルは、それぞれの開始値の間にあるすべての情報を取り込んで有効なイベントを作成します。 |
| イベント終了パターン (Event End Pattern) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」が「開始/終了に一致 (Start/End Matching)」に設定されている場合に使用可能になります。 この正規表現 (regex) は、TCP 複数行イベント・ペイロードの終了を識別するために必要です。 Syslog イベントがすべて同じ値で終了する場合は、正規表現を使用してイベントの終了を判別することができます。このプロトコルでは、イベント終了パターンのみに基づくイベントをキャプチャーできます。終了パターンしか使用できない場合、このプロトコルは、それぞれの終了値の間にあるすべての情報を取り込んで有効なイベントを作成します。 |
| メッセージ ID のパターン |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」が「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。 イベント・ペイロード・メッセージをフィルタリングするために必要な正規表現。TCP 複数行イベント・メッセージでは、イベント・メッセージの各行で共通の識別値が繰り返されている必要があります。 |
| 時間制限 |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」が「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。 イベントをイベント・パイプラインにプッシュする前に、さらに一致するペイロードを待機する秒数。デフォルトは 10 秒です。 |
| イベントの集約時にすべての行を保持 (Retain Entire Lines during Event Aggregation) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっており、「集約方法 (Aggregation Method)」が「ID でリンク (ID-Linked)」に設定されている場合に使用可能になります。 「集約方法 (Aggregation Method)」パラメーターが「ID でリンク (ID-Linked)」に設定されている場合、「イベントの集約時にすべての行を保持 (Retain Entire Lines during Event Aggregation)」を有効にして、「メッセージ ID のパターン」より前のイベントの部分を破棄するか保持するかを指定します。この機能を有効にできるのは、同じ ID パターンを持つイベントを連結する場合のみです。 |
| 複数のイベントを単一行にフラット化 (Flatten Multiline Events Into Single Line) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。 イベントを 1 行で表示するか複数行で表示するかを指定します。 |
| イベント・フォーマッター (Event Formatter) |
このパラメーターは、「複数行を使用可能にする (Enable Multiline)」がオンになっている場合に使用可能になります。 特に Windows 用に書式設定された複数行イベントの場合は、「Windows 複数行 (Windows Multiline)」オプションを使用します。 |
ログ・ソースが保存されると、ログ・ソースに対して syslog-tls 証明書が作成されます。この証明書を、暗号化された Syslog を転送するように構成されたネットワーク上のすべてのデバイスにコピーする必要があります。syslog-tls 証明書ファイルおよび TLS listen ポート番号を持つ他のネットワーク・デバイスは、TLS Syslog ログ・ソースとして自動的にディスカバーできます。
TLS Syslog のユース・ケース
- ディスク上のクライアント証明書 (Client Certificate on Disk)
- このプロトコルがクライアント認証に関与できるようにするクライアント証明書を提供できます。このオプションを選択して証明書を提供すると、着信接続がクライアント証明書に照らして検証されます。
- CN 許可リストおよび発行者検査 (CN Allowlist and Issuer Verification)
このオプションを選択している場合は、発行者証明書を (.crt、.cert、または .der のファイル拡張子で) 次のディレクトリーにコピーする必要があります。
/opt/qradar/conf/trusted_certificatesこのディレクトリーは、ログ・ソースが割り当てられているターゲット・イベント・コレクターにあります。
証明書が信頼できる発行者によって署名されているかどうかの確認およびその他の確認のため、すべての着信クライアント証明書は以下の方法で検査されます。クライアント証明書認証には、以下の一方または両方の方法を選択できます。
- ユーザー提供のサーバー証明書
- 専用のサーバー証明書および対応する秘密鍵を構成できます。構成した TLS Syslog プロバイダーは、その証明書と鍵を使用します。着信接続には、自動的に生成された TLS Syslog 証明書ではなく、ユーザー提供の証明書が提示されます。
- デフォルト認証
- デフォルト認証方式を使用するには、「認証モード (Authentication Mode)」および「証明書タイプ (Certificate Type)」の各パラメーターにデフォルト値を使用します。ログ・ソースが保存されると、ログ・ソース・デバイスに対して syslog-tls 証明書が作成されます。この証明書を、暗号化された Syslog データを転送するネットワーク上のすべてのデバイスにコピーする必要があります。