SSL および TLS のトラフィックの復号化 QRadar Network Insights

隠れた脅威を見つけるには、. IBM QRadarによって処理される SSL および TLS トラフィックを復号化する必要があるかもしれない。

IBM QRadar Network Insights デプロイメントの場合、平文出力が QRadarにフィードされる、専用の中間者ソリューションを使用することをお勧めします。

中間者ソリューションをデプロイしない場合は、必要な鍵が使用可能であれば、 QRadar 内で限定された暗号化解除機能を使用できます。 復号機能を有効にすると、パフォーマンスが低下します。

復号は次のプロトコルでサポートされます。
  • SSL v3
  • TLS v1.0
  • TLS v1.1
  • TLS v1.2
制約事項:
以下の制約事項が適用されます。
  • SSL または TLS の圧縮が使用されている場合、トラフィックを復号化できません。
  • 暗号化トラフィックが秘密鍵を使用して暗号化解除されている場合、Diffie Hellman 鍵交換メカニズムはサポートされません。 秘密鍵を使用する場合は、RSA など他の鍵交換方式がサポートされています。 トラフィックが鍵ログ内の情報を使用して復号されるときは、この制限は適用されません。
  • FIPS モードでは、 OpenSSL は、暗号化解除できる暗号の限定されたリストをサポートします。 openssl ciphers コマンドを実行して、FIPS モードで使用可能な暗号の完全なリストを表示します。 リストされているすべての暗号が暗号化解除でサポートされているわけではありません。