QRadar への Disconnected Log Collector ログ・ソースの追加

IBM Disconnected Log Collector は、 Disconnected Log Collector ログ・ソースを使用することによってのみ、 IBM QRadar と通信し、そこにイベントを転送することができます。 QRadar 7.4.0 以降には、 Disconnected Log Collector プロトコルが含まれています。

手順

  1. QRadar バージョン 7.3.3 以前を使用しており、 QRadar コンソールが自動更新を受け取るように構成されていない場合は、 Disconnected Log Collector プロトコルを IBM Fix Central (ibm.com/support/fixcentral/) からダウンロードします。
    1. root ユーザーとして QRadar コンソールにログインします。
    2. プロトコル RPM ファイルを /tmp ディレクトリーまたは任意の場所にコピーします。
    3. ディレクトリーに移動し、次のコマンドを入力します。
      yum -y install <rpm_filename>
    4. 管理者として QRadar にログインします。
    5. 管理者 タブに移動します。
    6. 「拡張」 > 「すべての構成のデプロイ」をクリックします。
      完全な構成をデプロイすると、 QRadar は引き続きイベントを収集します。
  2. データ・ソース セクションで、 ログ・ソースをクリックします。
  3. 「追加」をクリックし、 Disconnected Log Collectorの以下のプロトコル固有のパラメーターを構成します。

パラメーター 説明
ログ・ソース名 Disconnected Log Collector ログ・ソースの名前 (例えば、 DLC TLS Protocol) を入力します。
ログ・ソース・タイプ 「ユニバーサル DSM」を選択します。
プロトコル構成 「IBM QRadar DLC プロトコル (IBM QRadar DLC Protocol)」を選択します。
ログ・ソース ID 固有 ID ストリング (例えば、 Disconnected Log Collector がインストールされているコンピューターの IP アドレス) を入力します。
Protocol Disconnected Log Collectorからイベントを取得するために使用する通信プロトコルを選択します。 「 TLS 」(デフォルト)または「 UDP 」を選択してください。 この設定は、 Disconnected Log Collector プロトコル設定と一致している必要があります。
Listen ポート Disconnected Log Collector イベントを受信する QRadar サーバー・ポートを入力します。 デフォルト・ポートは 32500 です。
共通名での認証 (Authentication by Common Name) Disconnected Log Collector 認証方式。 これを選択した場合、認証は、 Disconnected Log Collectorによって渡されるクライアント証明書の共通名 (UUID) によって行われます。 選択しない場合、認証は、 Disconnected Log Collectorによって渡される証明書発行者の別名によって行われます。
共通名/別名許可リスト (CN/Alias Allowlist)

共通名による認証の場合は、 Disconnected Log Collector インスタンスの UUID を共通名として入力します。 複数のインスタンスがある場合は、UUID のコンマ区切りのリストを入力します。

認証が別名によるものである場合は、 Disconnected Log Collector 証明書のトラストストアにあるルート CA の別名を入力します。

ヒント: トラストストア内の別名のリストを表示するには、以下のコマンドを実行します。
keytool -list -v -keystore 
  /etc/pki/ca-trust/extracted/java/cacerts | grep Alias
鍵ストアのファイル名 (Key Store File Name) サーバーの Personal Exchange (PFX) 形式の証明書のファイル名。これは、Event CollectorEvent Processor、または QRadar Console/opt/qradar/conf/key_stores ディレクトリーにあります。 このファイルは、 Disconnected Log Collector インスタンスからイベントを受信します。
鍵ストア・パスワード サーバー PFX 証明書のパスワード。
失効を確認 証明書が失効しているかどうかを確認するには、このチェック・ボックスを選択します。
トラストストアのファイル・パス (Trust Store File Path)

デフォルトでは、QRadar サーバー・トラストストアのファイル・パス (/etc/pki/ca-trust/extracted/java/cacerts)。

Disconnected Log Collector クライアントの署名者が中間 CA を使用する場合は、 QRadar サーバーのトラストストアではなく、独自のトラストストアを使用することをお勧めします。 「共通名での認証 (Authentication by Common Name)」 が選択されていない場合は、クライアント証明書の中間 CA の別名を 「共通名/別名許可リスト (CN/Alias Allowlist)」に含める必要があります。 以下のコマンドを使用して、クライアント証明書の CA および中間 CA を独自の鍵ストア・ファイルに追加します。
keytool -import -alias client_root_ca -file client_root_ca.crt -keystore clientca
keytool -import -alias client_int_ca -file client_int_ca.crt -keystore clientca
注: client_root_ca.crt ファイルは X.509 形式でなければなりません。

独自のトラストストアを作成するには、clientca 鍵ストア・ファイルを /opt/qradar/conf/key_stores ディレクトリーに移動します。 次に、「トラストストアのファイル・パス (Trust Store File Path)」で、/opt/qradar/conf/key_stores/clientca と入力します。

トラスト・ストア・パスワード サーバー・トラストストアのパスワード (デフォルトでは、changeit)。
ターゲット・イベント・コレクター Disconnected Log Collector インスタンスからイベントを受信する Event CollectorEvent Processor、または QRadar Console
TLS プロトコル このプロトコルで受け入れ可能な TLS のバージョン。 現在インストールされているDLCデバイスでサポートされている TLS のバージョンを選択してください。 TLSv1.3 DLC『 1.8.4 』以降で対応しています。

  1. 保存をクリックします。
  2. 管理者 設定で、 変更のデプロイをクリックします。