HCL BigFixQRadar 間の暗号化通信の構成

脆弱性修正ステータスの更新 IBM® QRadar® Vulnerability Manager 情報をWebレポート経由で受信するには、トランスポート層セキュリティ(TLS) HCL BigFix を設定してください( TLS )。

QRadar Vulnerability ManagerBigFix からFixletのステータス更新を受信すると、BigFix Web ReportsのSOAP APIを使用して、 BigFix の関連性言語を使用したクエリで更新を要求します。 照会は、メモリー内の BigFix Web レポート・データベースからデータを抽出するために使用されます。 QRadar は、データを解析して保存します。 保存済み検索を使用して、 QRadarBigFix の更新を表示できます。 BigFix デフォルトではWeb Reports TLS を使用しません。 TLSBigFix 通信とWebレポートを設定します。

始める前に

以下のコンポーネントがネットワーク上にインストールされている必要があります。
  • BigFix サーバー。
  • BigFix コンソール。
  • スキャンするネットワーク内の各アセット上の BigFix エージェント。
  • IBM QRadar コンソール。
  • QRadar Vulnerability Managerのライセンス交付を受けたインストール済み環境。

最新の更新が適用された QRadar V7.2.6 以降が必要です。

注: この統合を準備するには、 「管理」 タブから 「自動更新」 を実行して最新のスキャン・ツールを取得することをお勧めします。

手順

  1. TLS を構成するには、以下のステップを実行します。
    1. QRadar Consoleのシェル・プロンプトで以下のコマンドを入力して、 BigFix から QRadar Console に公開鍵証明書をダウンロードします。

      openssl x509 -in <(openssl s_client -connect <bigfix ip address>:<port> -prexit 2>/dev/null) > /opt/qvm/iem/iem_cert.pem

      通常、 BigFix はポート 52312 で listen します。

    2. QRadarでトラストストアを作成するには、次のように入力します。
      次のコマンドを入力します。

      keytool -keystore /opt/qvm/iem/truststore.jks -genkey -alias iem_webreports

    3. 以下のコマンドを入力して、 BigFix 公開鍵証明書を QRadar トラストストアにインポートします。

      keytool -importcert -file /opt/qvm/iem/iem_cert.pem -keystore /opt/qvm/iem/truststore.jks -storepass <your_truststore_password> -alias BigFix_webreports

    4. でこの証明書を信頼しますか? プロンプトが出されたら、 Yesと入力します。
  2. TLS およびWeb BigFix Reportsの設定を完了するには QRadar Vulnerability Manager、以下の手順を実行してください:
    1. SSH を使用して、root ユーザーとして QRadar コンソールにログインします。
    2. ./iem-setup-webreports.pl と入力し、プロンプトが出されたら、 BigFix サーバーのホスト名、ホスト・ポート、ユーザー名、およびパスワードを入力します。

      任意のディレクトリーからこのコマンドを実行できます。 ファイルは、/opt/qvm/iem ディレクトリー内に作成されます。

    3. その 使用 SSL/TLS 暗号化? 適切な応答をぷろプロンプト、入力してください。
    4. 画面に表示されるプロンプトに従って入力します。
    5. webreports.properties ファイルの内容を表示するには、シェル・プロンプトで次のコマンドを入力します。

      more /opt/qvm/iem/webreports.properties

      webreports.properties ファイルは許可された SSL/TLS 移送プロトコルを含みます。例えば、 webreports.tls.protocols=TLSv1.2 やコンマで区切られたリスト webreports.tls.protocols=TLSv1.2,TLSv1.1

      以下の行で、IP アドレスの後にポート番号が含まれていることを確認します。

      webreports.endpoint=http://<IP_address>:<port>/webreports

      別のポートを使用する場合は、 /opt/qvm/iem/webreports.properties ファイルを編集し、ポート番号を変更します。