Opções de configuração de protocolo RabbitMQ
Para receber mensagens de um DSM do Cisco AMP, configure uma origem de log para usar o protocolo RabbitMQ
O protocolo do RabbitMQ é um protocolo de saída ativo.
A tabela a seguir descreve os parâmetros específicos do protocolo para o protocolo RabbitMQ :
| Parâmetro | Descrição |
|---|---|
| Nome do protocolo | RabbitMQ |
| Identificador de Fonte de Log | Digite um nome exclusivo para a origem de log. O Identificador de Origem de Log pode ser qualquer valor válido e não precisa fazer referência a um servidor específico. Ele também pode ser o mesmo valor que o Nome da Fonte de Registro. Se você tiver mais de uma origem de log configurada do RabbitMQ , certifique-se de fornecer a cada um um nome exclusivo. |
| Formato de Evento | O Formato de Evento conta o protocolo que tipo de eventos esperar. Os produtos oficialmente suportados têm opções específicas disponíveis para eles. Para produtos não suportados, você pode usar Sem Formatação ou JSON. |
| IP ou Nome do Host | O endereço IP ou o hostname do gerenciador de filas primárias. |
| Porta | A porta que é fornecida pelo serviço de AMQP quando uma fila é criada ou visualizada. |
| Fila | A fila ou lista de filas a monitorar. Uma lista de filas é especificada com uma lista separada por vírgula. |
| Nome de usuário | O nome do usuário que é usado para autenticação com o serviço RabbitMQ . |
| Senha | A senha usada para autenticar com o serviço RabbitMQ . |
| Regulador de EPS | O número máximo de eventos por segundo que o QRadar alimenta. Se sua origem de dados exceder o regulador EPS, a coleta de dados será atrasada. Os dados ainda são coletadas e, em seguida, alimentados quando a origem de dados para de exceder o regulador EPS. O padrão é 5000. |
| Permitir certificados não confiáveis | Ative essa opção quando o terminal estiver usando um certificado que não pode ser verificado por meio da Cadeia de Certificados Isso incluiria um certificado autoassinado ou um de uma autoridade de certificação privada que você não deseja importar para sua confiança de autoridade de certificação. Essa opção não deve ser usada para terminais com um certificado emitido por uma autoridade de certificação pública (produtosSaaS , infraestrutura de nuvem pública e assim por diante.) O certificado deve ser transferido por download em formato binário PEM ou DER codificado e, em seguida, colocado no diretório /opt/qradar/conf/trusted_certificates/ com uma extensão de arquivo .cert ou .crt. |