Configuración de la aplicación QRadar SOAR Plug-in

Debe configurar la conexión entre IBM® QRadar® y SOAR.

Antes de empezar

Asegúrese de que ha copiado los certificados de CA en la consola deQRadar para permitir el acceso a los destinos de entrada para el entorno SOAR . Para obtener más información, consulte Configuración del acceso a los destinos de entrada.

Debe crear una señal de servicio autorizado para autenticar las llamadas de API realizadas por IBM Security SOAR. Para obtener más información, consulte Creación de una señal de servicio autorizado.

Procedimiento

  1. Inicie sesión en la consola de QRadar como administrador.
  2. En la pestaña Admin , en la sección Plugin deIBM QRadar SOAR , pulse Configuración.

En el separador Acceso , proporcione la información de configuración.

  1. Configure el nombre de destino QRadar, el token de servicio y el SOAR URL.
    Valor de configuración Descripción

    QRadar Nombre de destino

    Un nombre exclusivo para la ubicación de destino para esta integración de IBM QRadar SOAR Plug-in .

    A partir del plugin QRadar SOAR 4.0, este campo da soporte a la sincronización de varias instancias de QRadar con una única plataforma SOAR . El nombre de destino debe ser exclusivo para cada instancia de QRadar .

    Importante: Si cambia el nombre de destino, todos los casos abiertos existentes se actualizan para almacenar el nuevo valor.

    Token de servicio autorizado
    La señal de servicio autorizado que se utiliza para autenticar las llamadas de API realizadas por Plug-in de QRadar SOAR.
    Importante: La señal debe tener permisos administrativos completos para configurar la aplicación con QRadar.

    Para obtener más información, consulte Creación de una señal de servicio autorizado.

    Servidor SOAR URL

    La dirección URL de su servidor de la plataforma SOAR.

    La cadena URL debe empezar por http:// o https://.
  2. Si procede, configure los parámetros de conexión de SOAR para IBM Cloud Pak® for Security.

    Al seleccionar la casilla de verificación del modoCP4S, se muestran más campos para configurar la conexión a SOAR para IBM Cloud Pak for Security.

    Valor de configuración Descripción

    ModalidadCP4S

    Seleccione esta casilla cuando desee escalar QRadar infracciones a SOAR para IBM Cloud Pak for Security casos.

    REST URL

    La dirección URL que se utiliza para acceder a la API SOAR.

    La cadena URL debe comenzar por https:// e incluir el afijo cases-rest . Por ejemplo, https:// CUSTOMER-INSTANCE .cases-rest.xdr.security.ibm.com.

    Host STOMP

    El nombre de host que se utiliza para acceder al protocolo de mensajería STOMP, incluido el prefijo cases-stomp . Por ejemplo,  CUSTOMER-INSTANCE .cases-stomp.xdr.security.ibm.com.

    Puerto STOMP

    El puerto a utilizar con el STOMP URL para acceder al protocolo SOAR para IBM Cloud Pak for Security STOMP.

    Host deOpenWire

    El nombre de host que se utiliza para acceder al protocolo OpenWire , incluido el prefijo cases-openwire .

    QRadar utiliza el protocolo OpenWire para promover infracciones a SOAR para IBM Cloud Pak for Security.

    Por ejemplo:  CUSTOMER-INSTANCE .cases-openwire.xdr.security.ibm.com

    PuertoOpenWire

    El puerto a utilizar con el nombre de host de OpenWire .
  3. Configure las credenciales de clave de API de SOAR que se utilizarán para la autenticación.
    Valor de configuración

    Descripción

    ID de clave de API

    El ID de la cuenta de clave de API SOAR que se utiliza para la autenticación.

    Secreto de clave de API

    El secreto de la cuenta de clave de API SOAR .

    • Para crear claves de API en SOAR para IBM Cloud Pak for Security, su rol global debe tener el permiso Claves de API. Asegúrese de que la clave de API se ha creado en el valor Valores de aplicación > Gestión de casos > Permisos y acceso > Claves de API . No cree la clave de API en Valores generales > Claves de API.

      Si utiliza SOAR con una configuración MSSP, asegúrese de que la clave de API se envía a las organizaciones hijas y tiene el acceso adecuado. Para obtener más información, consulte Requisitos mínimos del sistema.

  4. Si el despliegue está configurado para Managed Security Service Providers (MSSP), configure los valores de organización de SOAR .
    Valor de configuración Descripción

    Soporte de varias organizaciones

    Seleccione este recuadro de selección para dar soporte a la correlación entre dominios de QRadar y varias organizaciones SOAR .

    Esta opción es necesaria en un despliegue de SOAR for Managed Security Service Providers .

    Nombre de organización

    El nombre de su organización SOAR (o cuenta en CP4S). No se admite el ID de organización (ID de cuenta en CP4S).

    • Si se está conectando a una Plataforma SOAR que está configurada para Managed Security Service Providers (MSSP), el Nombre de organización es el nombre de la organización de configuración. Puede identificar la organización de configuración mediante el icono .

  5. Configure la aplicación para utilizar conexiones seguras.
    Valor de configuración Descripción

    Conectar de forma segura

    Seleccione este recuadro de selección para verificar los certificados firmados por CA.

    Para despliegues locales que utilizan certificados SSL autofirmados, o despliegues que tienen problemas de certificados SSL, es posible que tenga que deseleccionar Conectar de forma segura para permitir que la integración realice una conexión correcta pero no verificada.
      1. Cargue el certificado de confianza en el almacenamiento persistente de la aplicación.

        El almacenamiento persistente se encuentra en /store/docker/volumes/qapp-<app-id>/<cert_name.cer>.

        Para encontrar el ID de aplicación, escriba /opt/qradar/support/qappmanager y localice el Plug-in deIBM QRadar SOAR en la sección Definiciones de aplicación .

      2. En ' app.config' , establezca en la opción ' cafile ' la ruta absoluta al certificado.
      3. Reinicie la aplicación QRadar SOAR Plug-in utilizando la API QRadar .
        El siguiente ejemplo muestra comandos curl para reiniciar el servicio utilizando la API 10.0.
        curl -s -X POST -u <USER> -H 'Version: 19.0' -H 'Accept: application/json' &&
'https://<QRADAR_IP_ADDRESS/api/gui_app_framework/applications/<QAPP_ID>?status=STOPPED'


        curl -s -X POST -u <USER> -H 'Version: 19.0' -H 'Accept: application/json' &&
'https://<QRADAR_IP_ADDRESS/api/gui_app_framework/applications/<QAPP_ID>?status=RUNNING'

        En función de la instalación de QRadar , es posible que tenga una versión de API diferente. Para más información sobre el uso de llamadas a la API en otras versiones, consulte la documentación de la API deQRadar.

  6. Configure los valores de configuración restantes.
    Valor de configuración Descripción

    Tiempo de espera de SOAR (segundos)

    El tiempo que la aplicación QRadar SOAR Plug-in intenta conectarse a SOAR antes de que se agote el tiempo de espera.

    El valor predeterminado es 30 segundos.

    Habilitar DEBUG de nivel de registro

    Seleccione este recuadro de selección para habilitar el registro de nivel DEBUG para la aplicación QRadar SOAR Plug-in y resilient-circuits.

    Habilitar configuración de SOAR

    Seleccione este recuadro de selección para habilitar la aplicación QRadar SOAR Plug-inpara crear los campos, acciones y destinos de mensajes en SOAR.

    Estos valores son necesarios para la comunicación bidireccional entre QRadar y la plataforma SOAR .

    Configuración de proxy

    Seleccione este recuadro de selección cuando la configuración requiera una conexión a través de un servidor proxy.

    Cuando este recuadro de selección está seleccionado, se muestran más valores de proxy.
    • En el campo Host, escriba el nombre del host como dirección URL.

      Si el esquema no se proporciona para el host de proxy, se utiliza https:// de forma predeterminada.

    • En el campo Puerto, escriba el puerto que se utilizará con el nombre de host URL.
    • Si la conexión de proxy requiere autenticación, especifique el nombre de usuario y la contraseña. La característica de proxy utiliza el método de autenticación básica para dar soporte a la autenticación.
  7. Pulse Verificar y configurar.
    El proceso de verificación comprueba los valores siguientes:
    • Se puede establecer una conexión con el servidor SOAR URL.
    • Un campo QRadar está presente en SOAR.
    • La señal de servicio autorizado es válida.
    • La conexión de proxy, si está configurada, es válida.

    Cuando finaliza el proceso de verificación, aparece el siguiente mensaje al final de la página de configuración.Connection and Configuration Verified Successfully

  8. Si Soporte de varias organizaciones está habilitado, configure la correlación.
    1. Pulse la pestaña Correlación .
    2. Correlacione los dominios de QRadar y las organizaciones hijo SOAR .
    3. Haga clic en Envío de configuración para enviar los cambios de configuración a las organizaciones hijas.

      En SOAR, puede ir a la página Organización de configuración para verificar que el envío de configuración se ha completado correctamente.

  9. En QRadar, en el separador Acceso de la ventana de configuración de la aplicación QRadar SOAR Plug-in , pulse Guardar.

Resultados

Los objetos siguientes se crean para dar soporte a la aplicación QRadar SOAR Plug-in . El destino de QRadar , que aparece entre corchetes, viene determinado por el valor del Nombre de destino deQRadar que ha proporcionado al configurar la aplicación.

Tabla 1. QRadar SOAR Plug-in 5.x creación de objeto de aplicación
Tipo de objeto

Descripción
destino de mensaje

qradar_<QRadar_Destination>

Este destino es la cola de mensajes unificada para todas las acciones procesadas por la aplicación QRadar SOAR Plug-in .
Destino de entrada

qrp_inbound_<QRadar_Destination>

El destino de entrada es una cola para cada organización que lee y escribe mensajes de QRadar.
Reglas
Se crean las reglas siguientes.
  • close_offense for <QRadar_Destination>

    Cuando la sincronización está habilitada, esta regla automatizada cierra el delito de QRadar relacionado o el caso SOAR cuando se cierra.

  • qradar_note for <QRadar_Destination>

    Cuando la sincronización está habilitada, esta regla automatizada sincroniza las notas entre el caso y el delito.

  • Add to QRadar reference set for <QRadar_Destination>

    Esta regla no se aplica a los despliegues de MSSP.

    Cuando las acciones personalizadas están habilitadas, puede utilizar esta regla manual para enviar artefactos de caso a los conjuntos de referencia de QRadar de la instancia de QRadar definida por el campo Nombre de destino deQRadar .

  • QRadar Ariel Query for <QRadar_Destination>

    Cuando las acciones personalizadas están habilitadas, puede utilizar esta regla manual para ejecutar consultas Ariel en los artefactos de caso en la instancia de QRadar definida por el campo QRadar .

Qué hacer a continuación

Configure las opciones de escalado.