データ・ゲートウェイの前提条件

QRadar® on Cloud ゲートウェイ・アプライアンスを使用するには、事前に特定の前提条件を満たしている必要があります。

  • ゲートウェイ・アプライアンスを介して接続するコンソールのパブリック・ホスト名が必要です。 IBM®からパブリック・ホスト名を受け取ります。
  • データ・ゲートウェイ・アプライアンスのパブリック IP アドレスが QRadar on Cloudに許可リストされていることを確認します。 トークンを要求する前に、データ・ゲートウェイ・アプライアンスを許可リストに追加します。 詳しくは、 IP アドレスの許可リストへの登録を参照してください。
  • QRadar on Cloud トークンを持っている必要があります。 IBM クラウド上の QRadar on Cloud に接続するために使用するゲートウェイ・アプライアンスごとに 1 つのトークンが必要です。 QRadar「管理者」 > QRoC Self Serve > 「ホスト・トークン管理」 に移動して、トークンを取得します。 トークンがない場合は、 データ・ゲートウェイ用の新規トークンの生成を参照してください。
  • ゲートウェイ・アプライアンスの IBM QRadar ISO へのダウンロード・リンクが必要です。 ダウンロード・リンクは、 QRadarAdmin > Hosted QRadar にあります。
  • ゲートウェイ・アプライアンスを介して QRadar on Cloud に接続するには、静的 IP アドレスが必要です。 192.168.0.0/16 のネットワーク範囲にある IP アドレスは使用しないでください。
    静的 IP アドレスは、以下の表のいずれかのネットワーク CIDR 範囲内になければなりません。
    表 1. ネットワーク CIDR の IP アドレスの範囲
    ネットワークCIDR IP アドレスの範囲
    10.0.0.0/8 10.0.0.1 - 10.255.255.254
    172.16.0.0/12 > 172.16.17.0 172.16.17.1 - 172.31.255.254
  • DNS サーバーが、コンソール・ホスト名の正しい IP アドレスを反映している必要があります。
  • ゲートウェイ・アプライアンスは、ネットワーク・アドレス変換 (NAT) ファイアウォールの背後に配置する必要があります。
  • ゲートウェイ・トラフィックがプロキシー・サーバー経由で経路指定される場合、プロキシー・サーバーは認証を要求しない透過プロキシー・サーバーまたはインライン・プロキシー・サーバーである必要があります。
  • セキュリティー・データを QRadar on Cloudに送信するには、十分な帯域幅が必要です。 平均では、1000 EPS (イベント/秒) の場合は 0.72 Mbps、10,000 EPS の場合は 7.2 Mbps が必要です。 帯域幅の所要量を決定するには、以下の数式を使用します。

    EPS * ((平均イベント・サイズ + 200) バイト x 8) / (1000 x 1000 x 10)= Mbps 値。

    例: 1000 * ((700 + 200) x 8)/(1000 x 1000 x 10) = 0.7 Mbps

    最低限必要な帯域幅は、 40Mbps + 上記の数式で計算された Mbps 値です。 これらの最小帯域幅要件は、 Event Collector アプライアンスにも適用されます。

  • ゲートウェイ・アプライアンスが システム要件を満たしている必要があります。
  • ポート 443 で QRadar Console および VPN サーバーのパブリック IP への接続を許可する必要があります。
  • ポート 443 接続に対して確立されたトラフィックおよび関連トラフィックを許可する必要があります。
  • ポート 443 接続に対して HTTPS トラフィックおよび OpenVPN トラフィックを許可する必要があります。
  • QRadar on Cloud は、データ・ゲートウェイによる構成パッケージの取得を妨げる可能性がある Web アプリケーション・ファイアウォール (WAF) を使用します。 HTTPS のIPアドレスを、データゲートウェイ上の /etc/hosts ファイル内のコンソールの完全修飾ドメイン名(FQDN)で構成します。
  • コンソール証明書 (https://www.digicert.com/) を検証するには、 Digicert へのアクセス権限が必要です。
    重要: 企業のファイアウォールまたはアクセス制御デバイスが、ネットワークから特定の IP アドレス・セットのみにアクセスできるように構成されている場合は、以下の IP アドレスを含める必要があります。
    • 192.229.211.108
    • 192.229.221.9
    • 152.195.38.76
    • 192.16.49.85