QRadar での証明書ベースの認証のセットアップ

TLS では、 TCP を介したととの通信において IBM QRadarIBM Disconnected Log Collector 、証明書ベースの通信が使用され、エンドエンティティからルート証明書に至るハードウェアおよびソフトウェア検証を行う信頼の連鎖が確立されます。

始める前に

このセットアップは、 IBM QRadar on Cloud DevOps チームによって、最初の Disconnected Log Collector (DLC) に対してのみ実行されます。 同じ CA を使い続ける限り、DLC をさらに追加するためにサポート・チケットは必要ありません。

重要: 環境内に複数の Disconnected Log Collectorが存在する場合は、 Disconnected Log Collector の接続先の QRadar システムで以下のステップを 1 回のみ実行してください。

手順

  1. QRadar on Cloud Self Serve アプリで、DLC の Egress IP アドレスを使用して許可リストを更新します。
  2. お客様サポート ・チケットを開き、以下を実行します。
    1. TLS syslog 証明書を要求します。 QRadar on Cloud によって提供される証明書は、認証局によって署名されます。
    2. rootCA.crt を pem 形式で添付します。
    IBM QRadar on Cloud DevOps チームは、以下の情報を使用してチケットを更新します。
    • 鍵ストアのファイル名 (Key Store File Name)
    • 鍵ストアのファイル・パスワード (Key Store File Password)
    • トラストストアのファイル・パス (Trust Store File Path)
    • トラスト・ストア・パスワード

結果

作成した dlc-server.pfx ファイルを使用して、 QRadarDisconnected Log Collector ログ・ソースを構成できます。

次に実行するタスク

TLS の設定( TCP 経由の通信、 QRadar との連携)