TLS のsyslogデータを QRadar Console

TLS シースログログソースプロトコルを使用して、シースログログソース情報をコンソール QRadar® on Cloud またはイベントプロセッサに直接送信できます。 データ・ゲートウェイを使用する必要はありません。

手順

  1. カスタマーサポートチケットを開き、 TLS のsyslog証明書をリクエストしてください。

    QRadar on Cloud によって提供される証明書は、認証局 (CA) によって署名され、90 日ごとに更新する必要があります。

    サポート・チケットで確認を受け取ったら、ログ・ソースを構成できます。
  2. 「管理」 タブで、 「アプリケーション」 セクションに移動し、 QRadar 「ログ・ソース管理」 アイコンをクリックします。
  3. 「+ 新規ログ・ソース」をクリックし、 「単一ログ・ソース」をクリックします。
  4. 「ログ・ソース・タイプの選択」 ページで、ログ・ソース・タイプを選択し、 「プロトコル・タイプの選択」をクリックします。
  5. 「プロトコル・タイプの選択」 ページで、プロトコルを選択し、 「ログ・ソース・パラメーターの構成」をクリックします。
  6. ログ・ソースの共通パラメーターを構成します。
    「ターゲット・イベント・コレクター」 を「コンソール」または「イベント・プロセッサー」に設定できます。
  7. ログ・ソースのプロトコル固有のパラメーターを構成します。
    1. 「ログ・ソース ID」 フィールドを更新します。
    2. TLS の「リスンポート」フィールドに、6514と入力します。
      TLS のsyslogで使用可能なポートは、6514、6515、6516、6517、および6518のみです。
    3. 「サーバー証明書タイプ」 フィールドで、 PKCS12 「証明書チェーンとパスワード」を選択します。
      証明書は、Let 's Encrypt によって署名され、90 日ごとに更新されます。
    4. IBM® サポート・チケットで提供されている PKCS12 サーバー証明書パスPKCS12 パスワード の値を入力します。
  8. 「保存」をクリックします。
  9. 「管理」 タブで、 「変更のデプロイ」をクリックします。
  10. logs-という接頭部が付いた QRadar on Cloud インスタンスの完全修飾ドメイン・ネーム (FQDN) にトラフィックを送信するようにネットワーク・デバイスを構成します。

    たとえば、ファイアウォールを設定して、 QRadar on CloudTLS のsyslog情報を.に送信するようにします。 コンソール・アドレスが console-######.qradar.ibmcloud.comの場合は、ファイアウォールの syslog 構成で宛先として logs-console-######.qradar.ibmcloud.com を入力します。

  11. syslog イベントを QRadar on Cloudに送信するデバイスで、CA (Let 's Encrypt) がトラストストアに追加されていることを確認します。
    サード・パーティーのログ・ソースを構成するときに、CA ルート証明書を追加しなければならない場合があります。 CA サイト ( https://letsencrypt.org/certificates/) から証明書をダウンロードします。