サーバーの秘密鍵を使用した SSL トラフィックと TLS トラフィックの復号

サーバーの IP アドレスとその秘密鍵を指定することで、そのホストに向かうトラフィックを復号できます。

手順

  1. SSH を使用して、root ユーザーとして QRadar Network Insights ホストにログインします。
  2. /opt/qradar/conf/forensics_config.xml ファイル内の鍵の場所を確認します。
    <keybag 
    keydir="/opt/ibm/forensics/decapper/keys" 
    keylogs="/opt/ibm/forensics/decapper/keylogs"/>

    次のステップでは、keydirkeylogs のロケーションを使用します。

  3. 1 つ以上の秘密鍵を keydir ディレクトリーにコピーします。
  4. keydir ディレクトリーで、 key_config.xml ファイルを変更して、鍵ファイルとそれが適用される IP アドレスを指定します。
    鍵ファイルは、単一の IP アドレスにも、IP アドレスの範囲にも、その両方にも適用できます。 例えば、key_config.xml ファイルは次のようになることがあります。
    例:
    <keys>
    <key file=" /opt/ibm/forensics/decapper/keys/key_name">
    <address>10.2.3.4</address>
    <range>10.2.3.0-10.2.3.255</range>
    </key>
    </keys>
  5. 次のコマンドを入力することで、decapper サービスを再開します。
    systemctl restart decapper

結果

この時点以降は、新しいリカバリーまたはフローのすべての分析で、トラフィックの復号に新しい鍵が使用されます。