サーバーの IP アドレスとその秘密鍵を指定することで、そのホストに向かうトラフィックを復号できます。
手順
- SSH を使用して、root ユーザーとして QRadar Network Insights ホストにログインします。
- /opt/qradar/conf/forensics_config.xml ファイル内の鍵の場所を確認します。
<keybag
keydir="/opt/ibm/forensics/decapper/keys"
keylogs="/opt/ibm/forensics/decapper/keylogs"/>
次のステップでは、keydir と keylogs のロケーションを使用します。
- 1 つ以上の秘密鍵を keydir ディレクトリーにコピーします。
- keydir ディレクトリーで、 key_config.xml ファイルを変更して、鍵ファイルとそれが適用される IP アドレスを指定します。
鍵ファイルは、単一の IP アドレスにも、IP アドレスの範囲にも、その両方にも適用できます。 例えば、
key_config.xml ファイルは次のようになることがあります。
例:<keys>
<key file=" /opt/ibm/forensics/decapper/keys/key_name">
<address>10.2.3.4</address>
<range>10.2.3.0-10.2.3.255</range>
</key>
</keys>
- 次のコマンドを入力することで、decapper サービスを再開します。
systemctl restart decapper
結果
この時点以降は、新しいリカバリーまたはフローのすべての分析で、トラフィックの復号に新しい鍵が使用されます。