TLS では、 TCP を介したととの通信において IBM
QRadarIBM
Disconnected Log Collector 、証明書ベースの通信が使用され、エンドエンティティからルート証明書に至るハードウェアおよびソフトウェアの検証を行う信頼の連鎖が確立されます。
始める前に
このセットアップは、 IBM
QRadar on Cloud DevOps チームによって、最初の Disconnected Log Collector (DLC) に対してのみ実行されます。 同じ CA を使い続ける限り、DLC をさらに追加するためにサポート・チケットは必要ありません。
重要: 環境内に複数の Disconnected Log
Collectorが存在する場合は、 Disconnected Log
Collector の接続先の QRadar システムで以下のステップを 1 回のみ実行してください。
手順
- QRadar on Cloud Self Serve アプリで、DLC の Egress IP アドレスを使用して許可リストを更新します。
- お客様サポート ・チケットを開き、以下を実行します。
- TLS syslog 証明書を要求します。 QRadar on Cloud によって提供される証明書は、認証局によって署名されます。
- rootCA.crt を pem 形式で添付します。
IBM
QRadar on Cloud DevOps チームは、以下の情報を使用してチケットを更新します。
- 鍵ストアのファイル名 (Key Store File Name)
- 鍵ストアのファイル・パスワード (Key Store File Password)
- トラストストアのファイル・パス (Trust Store File Path)
- トラスト・ストア・パスワード
結果
作成した dlc-server.pfx ファイルを使用して、 QRadar で Disconnected Log
Collector ログ・ソースを構成できます。