QRadar と通信するための Box の構成

Box エンタープライズ・アカウントから管理者ログを取得するには、Box および IBM QRadar コンソールを構成します。 Box 開発者アカウントが必要です。

始める前に

JSON Web Token (JWT) アサーション用の秘密 RSAkey と公開 RSAkey のペアを生成します。
ヒント: QRadar on Cloud ユーザーで、ターゲット・コレクターがコンソールまたはイベント・プロセッサーのいずれかである場合は、ケースを開き、秘密鍵 (DER 形式) をアップロードする必要があります。 次に、 DevOps はその秘密鍵を /opt/qradar/conf/trusted_certificates/boxに追加します。
  1. openssl コマンドがあるコンソールまたは Linux® サーバーにログインします。
    • 秘密鍵の場合、以下のコマンドを入力します。
      openssl genrsa -out box_private_key.pem 2048
    • 公開鍵の場合、以下のコマンドを入力します。
      openssl rsa -pubout -in box_private_key.pem -out box_public_key.pem
  2. 公開鍵のコピーを保存します。 API アクセス用に Box を構成するときに、公開鍵の内容を 「公開鍵の追加」 テキスト・ボックスに貼り付けます。
  3. 以下のコマンドを 1 行で入力して、秘密鍵を DER に変換します。
    openssl pkcs8 -topk8 -inform PEM -outform DER -in box_private_key.pem -out box_private_key.der -nocrypt
  4. 秘密鍵を管理対象ホスト上の QRadarに保管します。
    1. QRadar/opt/qradar/conf/trusted_certificates/ ディレクトリーに「box」という名前のディレクトリーを作成します。
    2. 秘密鍵の .DER ファイルを、作成した /opt/qradar/conf/trusted_certificates/box ディレクトリーにコピーします。 その他の場所に秘密鍵を保管しないでください。
    3. /opt/qradar/conf/trusted_certificates/box ディレクトリー内の秘密鍵ファイルのファイル名のみを使用して、ログ・ソースを構成します。 ログ・ソースを構成するときには、「秘密鍵ファイル名 (Private Key File Name)」フィールドにファイル名を正しく入力してください。
  5. 秘密鍵を /opt/qradar/conf/trusted_certificates/box ディレクトリーにコピーします。
    ヒント: 秘密鍵を保管する前にログ・ソースを構成すると、エラー・メッセージが表示されます。

手順

  1. QRadar アプライアンス用のアプリケーションを作成および構成します。
    1. Box Developers ポータル (http://developers.box.com/) にログインします。 これで、管理コンソールおよび Box コンソールにアクセスできます。
    2. 新規アプリケーションの作成 > 「カスタム・アプリケーション」をクリックします。
    3. 「カスタム・アプリケーション」 ウィンドウで、 「サーバー認証 (JWT を使用)」を選択します。
    4. 「アプリ名」 フィールドにアプリの名前を入力し、 「アプリの作成」をクリックします。
    5. 「構成」 タブの OAuth2 「資格情報」 行で、 「クライアント ID」 および 「クライアント秘密鍵」を記録します。 QRadarでログ・ソースを追加する場合は、 「クライアント ID」「クライアント秘密鍵」 が必要です。
    6. 「アプリのアクセス・レベル」 行で、 「アプリ + エンタープライズ・アクセス (App + Enterprise Access)」を選択します。
    7. 「アプリケーション・スコープ」 行で、以下のパラメーターを構成します。
      表 1. アプリケーション・スコープ・パラメーター
      パラメーター
      Content Actions 「Box に保管されているすべてのファイルとフォルダーを読み取る」 チェック・ボックスと 「Box に保管されているすべてのファイルとフォルダーを書き込む」 チェック・ボックスが選択されていることを確認します。
      Administrative Actions 「エンタープライズ・プロパティーの管理」 チェック・ボックスが選択されていることを確認します。

      「ユーザーの管理」「グループの管理」、および 「保存ポリシーの管理」 チェック・ボックスがクリアされていることを確認します。

      Developer Actions すべてのチェック・ボックスがクリアされていることを確認します。
    8. 「公開鍵の追加と管理」 行で、 「公開鍵の追加」をクリックします。
    9. コピー元の公開鍵ファイルを開きます QRadar「新規公開鍵の追加」 ウィンドウで、公開鍵ファイルの内容を 「公開鍵」 フィールドに貼り付けます。
    10. 「検証して保存 (Verify and Save)」をクリックし、 鍵 IDを記録します。 QRadarでログ・ソースを追加する場合は、 「鍵 ID」 が必要です。
    11. プロパティーがサーバーに保管されていることを確認するには、 「変更の保存」をクリックします。
      ASuccessfully updated the app.メッセージが表示されます。
  2. アプリを送信するには、 「許可」 タブで 「確認して送信」をクリックします。
  3. 「アプリ許可の送信の確認 (Review App Authorization Submission)」 ウィンドウで、 「送信 (Submit)」をクリックします。
  4. Box エンタープライズ ID を見つけます。
    1. 管理コンソールにログインし、 「アカウント」&「請求処理」 > 「エンタープライズ ID」をクリックします。
    2. 「アカウント情報」 タブをクリックし、Box Enterprise IDを記録します。
  5. アプリケーションを許可します。
    1. Box コンソールにログインします。
    2. ナビゲーション・メニューから、 「アプリ」をクリックします。
    3. 「カスタム・アプリケーション・マネージャー (Custom Apps Manager)」 タブで、アプリを見つけて 「詳細」 (...) をクリックします。
    4. 「アプリの許可 (Authorize App)」 ウィンドウで、 Application Access レベルが 「すべてのユーザー (All Users)」 であること、および API キーが記録した クライアント ID であることを確認し、 「許可 (Authorize)」をクリックします。
      アプリが正しく構成されている場合、 Authorization Status「許可済み」 と表示され、 Enablement Status「有効」と表示されます。
    Box の構成について詳しくは、 アプリケーション (https://developer.box.com/guides/applications/) を参照してください。

次に実行するタスク

QRadar が Box DSM からイベントを受信するように構成されていることを確認します。 QRadar が正しく構成されている場合、 「ログ・ソースの編集」 ウィンドウにエラー・メッセージは表示されません。