インバウンド宛先へのアクセスの構成

5.0 IBM® QRadar® SOAR プラグイン 5.0 ・アプリケーションを構成する前に、 SOAR CA 証明書を QRadar コンソール にコピーして、 SOAR インバウンド宛先へのアクセスを許可する必要があります。

始める前に

IBM Security SOAR for IBM Cloud Pak® for Security ( CP4S ) インスタンスに接続する場合は、 CP4S クラスタに関連付けられた IP アドレスとそのドメイン名の DNS マッピングが構成されていることを確認します。 この情報は、 QRadar ConsoleQRadar SOAR Plug-in コンテナの両方に提供する。 CP4S クラスタ、 cases-restcases-stompcases-openwire エンドポイントのIPアドレスとホスト名を指定する必要があります。

手順

  1. IBM Security SOAR Platform 用に CA 証明書を構成するには、以下の手順を実行します。
    1. SSH を使用して、root ユーザーとして QRadar コンソール にログインします。
    2. 以下のコマンドを入力して、ディレクトリーを変更します。
      cd /opt/qradar/conf/trusted_certificates
    3. 次のコマンドを入力して、 SOAR 証明書をインストールします。
      /opt/qradar/bin/getcert.sh <IP_or_Hostname_of_SOAR> <Port_of_the_SOAR_incoming_queue>

      例えば、コマンドは次のようなものになります。 /opt/qradar/bin/getcert.sh mysoar.ibm.com 65000

    4. 次のコマンドを入力して、 QRadar イベント収集サービスを再始動します。
      systemctl restart ecs-ep
  2. SOAR for IBM Cloud Pak for Security インスタンスに CA 証明書を設定するには、以下の手順に従う:
    1. CP4S がインストールされているクラスターの Red Hat OpenShift Container Platform コンソールを開きます。
    2. ナビゲーション・ページで、 「ネットワーキング」 > 「ルート」を選択します。
    3. 「プロジェクト: すべてのプロジェクト」 を選択し、 cases-openwireを検索します。
    4. 「cases-openwire」 経路をクリックして、 「経路の詳細」 ウィンドウを開きます。
    5. 「TLS 設定」の下で、 「証明書」 フィールドの値をコピーして、 .crt ファイルに保存します。

      例えば、 <hostname>_cases_openwire_ca.crtのような名前を .crt ファイルに付けることができます。

      注:

      「証明書」 の値が空の場合は、 「ワークロード」 設定で証明書の値を見つけます。

      1. ナビゲーション・ウィンドウで、 「ワークロード」 > 「シークレット」を選択します。
      2. isc-cases-openwire-default-cert または isc-cases-stomp-default-certを検索します。

        証明書の内容は 「データ」 セクションにあります。

    6. .crt ファイルを QRadar コンソール上の /opt/qradar/conf/trusted_certificates の場所にコピーします。
    7. 次のコマンドを入力して、 QRadar イベント収集サービスを再始動します。
      systemctl restart ecs-ep

次に実行するタスク

インバウンド宛先へのアクセスを構成した後、 許可サービス・トークンを作成 して、 SOARによって行われる API 呼び出しを認証します。