QRadar と通信するための Box の構成

Box エンタープライズ・アカウントから管理者ログを取得するには、Box および IBM® QRadar® コンソールを構成する必要があります。

開発者アカウントを持っている必要があります。

JSON Web トークン (JWT) アサーション用の RSA 秘密鍵/公開鍵ペアを生成します。

QRadar コンソールへの SSH セッションを開きます。
- 秘密鍵の場合、以下のコマンドを入力します。
```
openssl genrsa -out box_private_key.pem 2048
```
- 公開鍵の場合、以下のコマンドを入力します。
```
openssl rsa -pubout -in box_private_key.pem -out box_public_key.pem
```
公開鍵のコピーを保存します。API アクセスに対応するように Box を構成するときには、公開鍵の内容を「公開鍵の追加 (Add Public Key)」テキスト・ボックスに貼り付ける必要があります。

以下のコマンドを 1 行で入力して、秘密鍵を DER に変換します。

openssl pkcs8 -topk8 -inform PEM -outform DER
 -in box_private_key.pem -out box_private_key.der -nocrypt

QRadar の管理対象ホストに秘密鍵を保管します。
1. QRadar の opt/qradar/conf/trusted_certificates/ ディレクトリーに box という名前のディレクトリーを作成します。
2. 作成した opt/qradar/conf/trusted_certificates/box ディレクトリーに秘密鍵 .DER ファイルをコピーします。その他の場所に秘密鍵を保管しないでください。
3. opt/qradar/conf/trusted_certificates/box ディレクトリー内の秘密鍵ファイルのファイル名のみを使用して、ログ・ソースを構成します。ログ・ソースを構成するときには、「秘密鍵ファイル名 (Private Key File Name)」フィールドにファイル名を正しく入力してください。
秘密鍵を opt/qradar/conf/trusted_certificates/box ディレクトリーにコピーします。
ヒント: 秘密鍵を保管する前にログ・ソースを構成すると、エラー・メッセージが表示されます。

Box Developers ポータル (http://developers.box.com/) にログインします。これで、管理コンソールおよび Box コンソールにアクセスできます。

「新規アプリケーションの作成 (Create New App)」をクリックして、QRadar アプライアンス用のアプリケーションを作成します。
「Enterprise 統合 (Enterprise Integration)」を選択してから、「次へ」をクリックします。
「認証方式 (Authentication Method)」ペインで、「OAuth2.0 with JWT (サーバー認証) (OAuth2.0 with JWT (Server Authentication))」を選択し、「次へ」をクリックします。
フィールドにアプリケーションの名前を入力し、「アプリケーションの作成 (create App)」をクリックします。
「アプリケーションの表示 (View Your App)」をクリックします。
「OAuth2」パラメーター・ペインから、「クライアント ID (client ID)」および「クライアント秘密鍵 (client secret)」をコピーして控えておきます。QRadar でログ・ソースを追加する場合は、「クライアント ID (client ID)」および「クライアント秘密鍵 (client secret)」が必要です。
「アプリケーション・アクセス (Application Access)」ペインで、「エンタープライズ (Enterprise)」プロパティーを選択し、以下のパラメーターを構成します。

表 1. 「ユーザー・アクセス設定 (User Access Settings)」パラメーター
パラメーター	値
認証タイプ (Authentication Type):	サーバー認証 (OAuth2.0 with JWT) (Server Authentication (OAuth2.0 with JWT))
ユーザー・アクセス (User Access):	すべてのユーザー (All Users)
有効範囲 (Scopes):	内容 (Content) Box 内に保管されているすべてのファイルおよびフォルダーの読み取り/書き込みを行います。エンタープライズ (Enterprise) エンタープライズのプロパティーの管理 (Manage an enterprise's properties): アプリケーションにエンタープライズ属性とレポートの表示および編集を許可します。デバイス・ピナーの編集および削除を許可します。重要: 正しい有効範囲を選択しないと、Box API がエラー・メッセージを表示します。

公開鍵を送信し、鍵 ID を生成します。
1. ナビゲーション・メニューから「構成」を選択します。
2. 「公開鍵の追加と管理 (Add and Manage Public Keys)」のリストから、「公開鍵の追加 (Add a Public Key)」を選択します。
3. QRadar からコピーした公開鍵ファイルを開き、公開鍵ファイルの内容を「公開鍵の追加 (Add Public Key)」テキスト・ボックスに貼り付けます。
4. 「検証および保存 (Verify and Save)」をクリックし、「鍵 ID (key ID)」をコピーして控えておきます。QRadar にログ・ソースを追加する場合にこの鍵 ID が必要になります。
5. プロパティーがサーバー上に確実に保管されるように、「保存 (Save)」をクリックします。
Box エンタープライズ ID を記録します。
1. 管理コンソールにログインし、「アカウント設定 (Account Settings)」 > 「ビジネス設定 (Business Settings)」をクリックします。
2. エンタープライズ ID を見つけるには、「アカウント情報 (Account Info)」タブをクリックします。
アプリケーションを許可します。
1. Box コンソールにログインし、「アカウント設定 (Account Settings)」 > 「ビジネス設定 (Business Settings)」をクリックします。
2. 「アプリケーション (Apps)」タブをクリックします。
3. 「カスタム・アプリケーション (Custom Applications)」ペインで、「新規アプリケーションの許可 (Authorize New App)」をクリックします。
4. 「アプリケーションの許可 (App Authorization)」ウィンドウで、API キーを入力し、「次へ (Next)」をクリックします。アクセス・レベルが「すべてのユーザー (All Users)」であることを確認します。API 鍵はユーザーが控えておいた「クライアント ID (client ID)」です。
5. 「許可 (Authorize)」をクリックします。
QRadar と通信するための Box の構成について詳しくは、Box Web サイト (https://docs.box.com/docs/configuring-box-platform) を参照してください。

QRadar が Box DSM からイベントを受信するように構成されていることを確認します。QRadar が正しく構成されている場合は、「ログ・ソースの編集」ウィンドウにエラー・メッセージが表示されません。