OPSEC/LEA 通訊協定配置選項
若要在埠 18184 上接收事件,請配置日誌來源以使用 OPSEC/LEA 通訊協定。
OPSEC/LEA 通訊協定是出埠/作用中通訊協定。
下表說明 OPSEC/LEA 通訊協定的特定通訊協定專用參數:
| 參數 | 說明 |
|---|---|
| 通訊協定配置 | OPSEC/LEA |
| 日誌來源 ID | 用來識別裝置的 IP 位址、主機名稱或任何名稱。 對於日誌來源類型必須是唯一的。 |
| 伺服器 IP | 輸入伺服器的 IP 位址。 |
| 伺服器埠 | 用於 OPSEC 通訊的埠號。 有效範圍是 0-65,536 ,預設值是 18184。 |
| 將伺服器 IP 用於日誌來源 | 如果您要使用 LEA 伺服器 IP 位址而非日誌來源的受管理裝置 IP 位址,請選取 將伺服器 IP 用於日誌來源 勾選框。 依預設,勾選框已選取。 |
| 統計資料報告間隔 | 間隔 (秒) ,在此期間, syslog 事件數會記錄在 qradar.log 檔案中。 有效範圍是 4-2,147,483,648 ,預設間隔是 600。 |
| 鑑別類型 | 從清單中,選取您要用於此 LEA 配置的 鑑別類型 。 選項有 sslca (預設值)、 sslca_clear或 clear。 此值必須符合伺服器所使用的鑑別方法。 |
| OPSEC 應用程式物件 SIC 屬性 (SIC 名稱) | 「安全內部通訊 (SIC)」名稱是應用程式的識別名稱 (DN); 例如: CN=LEA, o=fwconsole..7psasx。 |
| 日誌來源 SIC 屬性 (實體 SIC 名稱) | 伺服器的 SIC 名稱,例如: cn=cp_mgmt,o=fwconsole..7psasx。 |
| 指定憑證 | 如果您要定義此 LEA 配置的憑證,請選取此勾選框。 當需要憑證時, QRadar® 會嘗試使用這些參數來擷取憑證。 |
| 憑證檔名 | 僅當選取 指定憑證 時,此選項才會出現。 鍵入您要用於此配置之憑證的檔名。 憑證檔必須位於 /opt/qradar/conf/ trusted_certificates/lea 目錄中。 |
| 憑證管理中心 IP | 輸入「檢查點管理程式伺服器」IP 位址。 |
| 取回憑證密碼 | 輸入啟動金鑰密碼。 |
| OPSEC 應用程式 | 發出憑證申請的應用程式名稱。 |
| 已啟用 | 選取此勾選框以啟用日誌來源。 依預設,勾選框已選取。 |
| 可靠性 | 從清單中,選取日誌來源的 可靠性 。 範圍是 0 - 10。 可靠性指出事件或攻擊的完整性,由來源裝置的可靠性等級判定。 如果多個來源報告相同的事件,則可靠性會增加。 預設值是 5。 |
| 目標事件收集器 | 從清單中,選取 目標事件收集器 以用作日誌來源的目標。 |
| 聯合事件 | 選取 聯合事件 勾選框,以讓日誌來源聯合 (組合) 事件。 依預設,自動探索到的日誌來源會從 QRadar中的「系統設定」繼承 聯合事件 清單的值。 當您建立日誌來源或編輯現有配置時,您可以針對每一個日誌來源配置此選項來置換預設值。 |
| 儲存事件有效負載 | 選取 儲存事件有效負載 勾選框,以讓日誌來源儲存事件有效負載資訊。 依預設,自動探索到的日誌來源會從 QRadar中的「系統設定」繼承 儲存事件有效負載 清單的值。 當您建立日誌來源或編輯現有配置時,您可以針對每一個日誌來源配置此選項來置換預設值。 |
重要事項: 升級之後,如果您收到 無法取回 SSL 憑證 錯誤訊息,請遵循下列步驟:
- 清除 指定憑證 勾選框。
- 重新輸入 取回憑證密碼的密碼。