最小システム要件

IBM QRadar SOAR プラグイン 5.x アプリケーションをインストールする前に、ご使用のデプロイメントが以下の要件を満たしていることを確認してください。
システム要件 説明

QRadar

IBM QRadar SOAR プラグイン 5.x ・アプリケーションを使用するには、 QRadar 7.5.0 UP7 がインストールされている必要があります。

以前のバージョンの QRadarを使用している場合は、 IBM Security App Exchange で、互換性のあるバージョンの IBM QRadar SOAR プラグインを検索してください。

以前のバージョンのアプリケーションは、 IBM QRadar Assistantでは使用できません。 これらは、 IBM Security App Exchangeからダウンロードする必要があります。

SOAR プラットフォーム

SOAR Platform v46 以降がインストールされている必要があります。

QRadar SOAR プラグイン 5.x は、マルチテナント構成をサポートしていません。 デプロイメントがマルチテナンシー用に構成されている場合は、アプリケーションをアップグレードしないでください。

コンテンツ・パック

5.0

IBM QRadar SOAR プラグイン 5.x コンテンツ・パック には、 SOAR インバウンド宛先にイベントを送信するために使用されるルールが含まれています。

IBM Security App Exchange からコンテンツ・パックをダウンロードし、拡張の管理ツールを使用してインストールします。

ポート・アクセス

QRadar は、以下のポートにアクセスできる必要があります。
  • SOAR プラットフォーム: 443、65000、65001
  • Cloud Pak for Security :443
  • ポート 443

    QRadar が REST API を使用して SOAR プラットフォームに接続できるようにします。 この接続は、 QRadar から SOAR プラットフォームへのインバウンド専用です。

    ActiveMQ OpenWireを使用した Cloud Pak for Security との通信を可能にします。 この接続は双方向です。

  • ポート 65000

    ActiveMQ OpenWireを使用した SOAR プラットフォーム との通信を可能にします。 この接続は双方向です。

QRadar メモリー

QRadar で、アプリケーションを実行するために少なくとも 800 MB のメモリーが使用可能であることを確認します。

制約事項: QRadar コンソール にインストールされているすべてのアプリケーションの合計メモリー所要量は、合計使用可能メモリーの 10% を超えることはできません。 10 パーセントのメモリー割り振りを超えると、アプリケーションは実行されません。

QRadar コンソール に、アプリケーションのインストールに使用できる十分なメモリーがない場合は、アプリケーション・ホストにインストールできます。 詳しくは、「 QRadar 管理ガイド」の「 アプリケーション・ホスト 」を参照してください。

QRadar コンソールにインストールされているアプリケーションによって使用されるメモリーの量を計算する方法について詳しくは、技術情報「 Apps and Resource Limzing 」(https://www.ibm.com/support/pages/qradar-apps-and-memory-resource-limitation) を参照してください。

SOAR プラットフォーム ユーザー・アカウント

専用の SOAR Platform アカウントが必要です。 アカウントのユーザー名とパスワードを知っている必要があります。

アカウントには、ケースを作成する権限、および管理者設定とカスタマイズ設定を表示および変更する権限が必要です。

MSSP アドオンを使用している場合、アカウントには、構成、グローバル・ダッシュボード、およびすべての子組織にアクセスするための許可も必要です。

ヒント: SOAR プラットフォーム ・アカウントを変更する場合は、新規アカウントに同じ権限があることを確認してください。

SOAR for IBM Cloud Pak® for Security を使用している場合は、[ Case Management ] > [ Permissions and Access ] > [ API Keys ] をクリックして API キーを作成します。

SOAR API 鍵アカウント

専用の SOAR API キー・アカウントが必要です。

アカウントには、以下の権限が必要です。
  • インシデント: 読み取り、作成
  • インシデントの編集: フィールド、所有者、メンバー、状況、メモ、ワークスペース
  • シミュレーション権限 (Simulation Permissions): シミュレーションを作成します。
  • 管理権限: API キーの管理
  • 組織データ: 読み取り、編集
  • その他の許可: インシデント読み取りアクションの呼び出し
  • 成果物: 読み取り、作成

MSSP 構成内の API 鍵アカウント

SOAR がマネージド・セキュリティー・サービス・プロバイダー (MSSP) 用に構成されている場合、API キー・アカウントはすべての子組織に対するアクセス権限を持っている必要があります。 API キー権限を変更する場合は、すべての子組織に構成をプッシュする必要があります。

SOAR 製品インターフェースから、API キーの許可を子組織にプッシュできます。

  1. アイコンで識別される構成組織に移動します。
  2. 「管理者設定」 > 「構成のプッシュ」 を選択し、 「構成のプッシュ」をクリックします。

    構成のプッシュが完了するまで数分待ちます。 テーブルで構成のプッシュの状況を確認できます。 「状況」 列をクリックすると、各組織のプッシュの状態に関する詳細が表示されます。

新規情報 API 鍵アカウントの作成について詳しくは、こちらを参照してください。