JDBC と通信するための設定 QRadar

IBM QRadar コンソールで JDBC プロトコルを設定するには、複数のデータベースからイベントデータログを含むテーブルまたはビューから情報を収集するための Snowflake アカウントが必要です。

このタスクについて

鍵ペア認証のアサーション用に、プライベートおよびパブリックの RSA 鍵ペアを生成する。

ヒント: ユーザー QRadar on Cloud であり、対象のコレクターが「コンソール」または「イベントプロセッサ」のいずれかである場合は、ケースを開設し、秘密鍵( DER 形式)をアップロードする必要があります。 秘密鍵は /opt/qradar/conf/trusted_certificates/jdbc ディレクトリに追加される。

手順

  1. openssl コマンドを持つ QRadar ボックスにログインする。
    • 秘密鍵の場合、以下のコマンドを入力します。
      openssl genrsa -out jdbc_private_key.pem 2048
    • 公開鍵の場合、以下のコマンドを入力します。
      openssl rsa -in jdbc_private_key.pem -pubout -outform DER | base64
  2. 公開鍵のコピーを保存します。 公開鍵の内容は、対応する Snowflake ユーザー・コンフィギュレーションに貼り付けなければならない。
  3. 次のコマンドを1行で入力し、秘密鍵を DER 形式に変換します。

    openssl pkcs8 -topk8 -inform PEM -outform DER -in jdbc_private_key.pem -out jdbc_private_key.der -nocrypt

    注意: ファイルは、オペレーティングシステムが提供するファイルパーミッション機構を使用して、不正アクセスから保護する必要があります。 QRadar がファイルを読めるように、適切なパーミッションが与えられていることを確認する
  4. 管理ホスト上の秘密鍵を QRadar に保存する。
    1. QRadar/opt/qradar/conf/trusted_certificates/ ディレクトリに jdbc というディレクトリを作成する。
    2. 秘密鍵 .DER ファイルを、作成した /opt/qradar/conf/trusted_certificates/jdbc ディレクトリにコピーする。 その他の場所に秘密鍵を保管しないでください。
    3. /opt/qradar/conf/trusted_certificates/jdbc ディレクトリの秘密鍵ファイルのファイル名のみを使用して、ログ・ソースを設定する。 にファイル名を正しく入力してくださいPrivate Key File Nameフィールドでログソースを設定する。
      ヒント: 秘密鍵を保存する前にログソースを設定すると、エラーメッセージが表示されます。
  5. 公開鍵を Snowflake ユーザー( Snowflake 側)に割り当てる。 Snowflake で公開鍵をユーザーに割り当てるには、 ALTER USER コマンドを実行し、次のように設定するRSA_PUBLIC_KEYプロパティー。 例えば、こうだ;
    ALTER USER example_user SET RSA_PUBLIC_KEY='MIIBIjANBgkqh...
    注: jdbc_public_key.pub ファイルの内容を使用してください。 可能であれば、ヘッダー行とフッター行(----BEGIN PUBLIC KEY----- と-----END PUBLIC KEY------)、および "writing RSA key "を含む行は、コマンドに含める前に削除してください。